Quali campi di un certificato sospetto dovrei esaminare?

Guarda anche il campo Emittente ! Come discusso in Come è possibile che una CA venga violato? , non puoi davvero fidarti di tutto il Certificato Autorità là fuori, e in realtà l'intero modello CA è imperfetto. Quindi, un campo da esaminare è il campo Emittente e potresti desiderare una funzione del browser che noti se stai guardando un certificato emesso da una CA non affidabile. Ciò riguarda sia le CA di proprietà o eccessivamente influenzate da paesi che non si vuole fidare dei propri dati, né le CA che hanno procedure di sicurezza o di emissione difettose e hanno certificati fraudolenti certificati erroneamente.

Un altro caso a cui dovresti stare attento è il caso in cui il tuo certificato server emette certificati tramite una CA che è stato inserito nel tuo browser - qualcosa che alcune organizzazioni fanno perché non si fidano dei loro dipendenti. Vedi per es. alcuni dei software proxy aziendali come Blue Coat , che possono essere utilizzati anche in Siria.

Bene, in qualche modo dipende dal grado di professionalità del sito web che stai visitando e dalla sensibilità delle informazioni che condividi con il sito web.

• Se è il sito web della tua banca o il sito web richiede i dati della tua carta di credito, non tollererei alcun errore.

• Un sito web come MDN non gestisce alcuna informazione sensibile (tranne la tua password MDN), ma è gestito da professionisti . Qualsiasi errore qui è sospetto.

Per quanto riguarda gli errori particolari che hai citato:

• Il certificato non è ancora valido , scartando la possibilità di un sindaco rovinare l'amministratore del sito web, di solito significa che l'orologio di sistema del tuo computer non è impostato correttamente. Inizia con il controllo.

• Il certificato scaduto di solito significa esattamente questo. Ciò può accadere su siti web semi-professionali, ma questo non potrebbe accadere sul sito web della tua banca.

• Il certificato è per un sito web diverso è comune anche su siti web semi-professionali.

  • Se il sito che stai visitando è foo.example.com e il certificato è per bar.example.com , controlla se entrambi i siti appartengono allo stesso servizio (ad es. fatturazione e supporto). Se lo sono, l'amministratore ha mancato una lezione o due quando ha imparato come configurare un sito Web, ma non c'è alcun problema reale.

  • Se foo.example.com e bar.example.com appartengono a servizi diversi (ad es. blog di persone diverse), non andare oltre.

  • Se stai visitando example.com , ma il certificato è per scam.com , non andare oltre.

• Il certificato non è attendibile significa che il certificato non è stato firmato da un'autorità di certificazione attendibile.

  • Chiunque può creare un certificato per yourbank.com e firmarlo personalmente, ma il certificato da un sito web professionale sarà sempre firmato da un'autorità di certificazione attendibile.

  • I siti web semi-professionali e privati utilizzano spesso certificati autofirmati, poiché sono facili da creare e gratuiti. Il problema è che, mentre forniscono la segretezza (crittografia), non forniscono alcuna riservatezza (chiunque potrebbe falsificare il certificato). Se il sito richiede informazioni che non si immettono su un sito Web non criptato, non procedere.

È inutile guardare i campi: se un certificato è valido o meno è il prodotto di un complicato algoritmo (vedere la sezione 6 di RFC 5280 - ma non farlo se vuoi mantenere la tua sanità mentale più o meno intatta) e il browser è migliore di te a eseguire quell'algoritmo (molti browser sono in realtà piuttosto malvagi, ma esseri umani sono solo peggio). Un'attenta analisi manuale può finire con l'evidenziare il punto plausibile in cui il proprietario del server o la sua CA sbagliano; ma non puoi escludere logicamente la possibilità di un attacco. Se il browser dice "non va bene", allora non va bene. Se esistesse un modo semplice per "salvare" un cattivo certificato, il browser lo implementerebbe e non segnalerebbe un errore.

Gli unici campi che vale davvero la pena guardare sono le date di validità: ci sono due situazioni comuni che si manifestano con un messaggio "certificato scaduto" o "certificato non ancora valido", e almeno uno di essi può essere risolto il tuo lato:

1. Il certificato è scaduto poche ore fa. Il proprietario del server ha dimenticato di rinnovarlo in tempo. Poiché i controlli di revoca sono per natura asincroni, può decidere di tollerare un certificato leggermente scaduto (con "leggermente" intendo "entro uno o due giorni al massimo"). Questa è la tua decisione.

2. Il certificato è attualmente valido; questo è il tuo computer che ha un orologio sbagliato. Se le date di inizio e di fine validità del certificato sembrano racchiudere la data corrente, è il momento di verificare se la data e l'ora sono configurate correttamente sulla macchina. Ad esempio, ho un vecchio portatile che ha la tendenza a tornare al 1969 quando lasciato da solo per più di qualche giorno.

Quali altri controlli diversi da valid from e valid to puoi fare? È come se qualcuno ti desse (suppongo che tu sia in India) ti dà una banconota dall'Argentina. Come si controlla che sia valido?