Dove sono i certificati SSL di convalida del dominio anonimo / privato?

8

Devo ancora trovare una CA che non richieda informazioni personali per i certificati DV. Questo perché tutti i principali browser e sistemi operativi hanno una politica per rifiutare le CA che non richiedono informazioni personali? O c'è qualche altra ragione per la mancanza di CA sensibili alla privacy?

Desidero sostituire il certificato SSL autofirmato del mio server Web personale con un certificato firmato da un'autorità di certificazione attendibile. Comprendo che alcuni casi d'uso richiedono indagini approfondite sull'identità, ma ho solo bisogno di un certificato di base per la convalida del dominio (DV). Non voglio condividere dettagli personali irrilevanti per fornire la crittografia end-to-end per uso personale (ad esempio, il mio indirizzo di casa e il numero di telefono).

Io sono non in cerca di una CA che si fida ciecamente di una rivendicazione di proprietà di un dominio - I vogliono di avere solide pratiche di convalida del dominio. Sto solo cercando una CA che non richieda informazioni oltre una prova di proprietà del dominio.

Perché dovrebbero preoccuparsi del mio nome o di dove vivo finché posso dimostrare di essere il proprietario del dominio?

Vogliono queste informazioni in modo che possano denunciarmi se faccio qualcosa di "cattivo" con il certificato che rilasciano? Il governo li obbliga a raccogliere queste informazioni per scopi di applicazione della legge o di intelligence straniera?

    
posta Richard Hansen 06.10.2014 - 00:53
fonte

2 risposte

3

Anche se al momento non sembra esistere alcuna CA esistente per la privacy, tutte le prove suggeriscono che recentemente annunciato Let's Encrypt CA (lancio dell'estate 2015) non richiederà agli utenti di fornire informazioni personali. Questo potrebbe cambiare, ma dubito che mi verrà dato coinvolgimento di EFF .

Se Let's Encrypt non raccoglierà alcuna informazione personale al momento del lancio, ciò suggerisce che le CA esistenti non richiedono fondamentalmente le tue informazioni personali e che le chiedono semplicemente perché possono farlo.

    
risposta data 20.11.2014 - 00:40
fonte
1

La risposta breve è no, l'Evidence of Identity (EOI) non è obbligatoria, o obbligata da governi (almeno per quanto ne so) o standard Internet.

Tuttavia, considera che il prodotto CA è affidabile. Le persone si fidano di una CA per emettere certificati solo ai legittimi proprietari di siti attendibili. L'EOI fa parte della catena di fiducia. Una CA può essere in grado di riprogettare i processi di rilascio dei certificati per soddisfare le tue particolari esigenze, ma la verità è che la maggior parte delle persone che richiedono certificati SSL non si cura, soprattutto perché il proprietario è già identificato nel record whois.

Per inciso, lo standard pertinente qui è RFC 3647, che copre la Politica dei certificati e la Dichiarazione di pratica dei certificati. Sebbene questa RFC contenga molti dettagli sui contenuti di queste politiche e dei documenti di supporto, non impone livelli minimi di identificazione nel processo di emissione.

    
risposta data 10.10.2014 - 01:47
fonte

Leggi altre domande sui tag