Verifica della revoca dei certificati del sito Web - Grande affare? [duplicare]

Naviga le tue risposte
7

Mentre stavo per effettuare il pagamento per il mio biglietto aereo, ho notato qualcosa di strano con il certificato SSL British Airways . Il mio browser (Google Chrome) non è stato in grado di verificare se il certificato è stato revocato o meno! Ecco il messaggio esatto:

Il messaggio di Google Chrome dice:

The identity of this website has been verified by GlobalSign Extended Validation CA - SHA256 - G2 but does not have public audit records.

Unable to check whether the certificate has been revoked.

Ho controllato le informazioni sulla certificazione e sembra che non ci siano altri problemi con il certificato stesso. Cose che vorrei sapere:

  • È sicuro continuare con il processo conoscendo il fatto che il tuo il browser non è in grado di controllare la revoca di certificati?

  • In che modo puoi esattamente confermare se un determinato certificato è stato revocato o no?

posta Rahil Arora 10.10.2014 - 02:34
fonte

2 risposte

13

La revoca è l'unico metodo mediante il quale un'autorità di certificazione può propagare le informazioni che una chiave privata è stata compromessa. È, infatti, un sistema di contenimento dei danni: nello sfortunato caso di furto di una chiave privata, il sistema di revoca farà in modo che nessuno si fidi del certificato corrispondente più di una settimana dopo che il furto è stato notificato e segnalato. Se un client non controlla lo stato di revoca o lo esclude (come si propone di fare), questo ritardo di "una settimana" viene esteso alla data di scadenza del certificato, che può essere lontana anni.

Per definizione, il fatto di non controllare la revoca (o di ignorare un errore di controllo della revoca) indebolisce il sistema, quindi non si può dire che sia "sicuro". Ma forse non è del tutto rischioso. In pratica, i rischi di connessione a un sito Web fasullo sono bassi, perché i numeri delle carte di credito rubate non valgono molto e l'esecuzione di un sito Web fasullo che emula con successo un vero sistema di prenotazione delle compagnie aeree richiede molto lavoro; gli hacker che potrebbero rubare la chiave privata probabilmente non lo farebbero. Ma questa è la tua decisione da prendere, non la mia.

Se il tuo browser non è in grado di accertare lo stato di revoca, è probabile che non puoi farlo tu stesso. Tuttavia, potrebbe essere interessante sapere cosa è successo esattamente. Normalmente, ciascun certificato della catena contiene un URL per la posizione del CRL pertinente (in un'estensione CRL Distribution Points ). Forse alcuni di questi siti Web sono attualmente irraggiungibili; forse il CRL che ospitano non è aggiornato, rivelando quindi un problema tecnico sul lato CA.

(Dalla mia macchina, in questo momento, il certificato di British Airways sembra buono, compreso lo stato di revoca, quindi è probabile che il problema tecnico fosse temporaneo.)

    
risposta data 10.10.2014 - 02:54
fonte
1

Non è insolito che il controllo delle revoche fallisca a causa del fatto che il servizio di revoca della CA non è disponibile - o è in ritardo nella pubblicazione di un CRL. Quindi stai probabilmente bene.

Un controllo di revoca può essere o al file CRL che viene pubblicato periodicamente dalla CA (ad esempio ogni 8 ore) che ha un periodo di validità o utilizza un endpoint OCSP (Online Certificate Status Protocol). I certificati scaduti non verranno visualizzati in un CRL.

Tutti i browser più diffusi supportano OCSP anche se Chrome lo disabilita di default a causa di problemi di latenza percepiti (vedi voce di Wikipedia OCSP ).

Il modo in cui i browser gestiscono i controlli di revoca è complicato. Netcraft ha un eccellente articolo su come i browser fondano l'intero processo di controllo delle revoche per accelerare l'esperienza di navigazione, anche se è possibile che le cose siano cambiate da quando è stato scritto più di 12 mesi fa.

    
risposta data 10.10.2014 - 03:27
fonte

Leggi altre domande sui tag

Scenario di attacco shellshock che sfrutta php Conoscenza di eventuali tarpits / blackholes HTTP da utilizzare per reindirizzare il traffico dannoso?