Quali campi di un certificato sospetto dovrei esaminare?

7

Guardando un certificato per un sito web (in Windows / Google Chrome) vedo che elenca i seguenti campi

  • Versione
  • Numero di serie
  • Algoritmo di firma
  • Emittente
  • valido da
  • valido per
  • Soggetto
  • Chiave pubblica
  • Vincoli di base
  • Norme sui certificati
  • Punti di distribuzione CRL
  • Uso avanzato delle chiavi
  • Utilizzo chiave
  • Oggetto Nome alternativo
  • Accesso alle informazioni dell'autorità
  • Algoritmo di impronta digitale
  • identificazione personale

In alcune circostanze, il browser trasmette quale potrebbe essere il problema.

es.

  • Certificato non ancora valido / scaduto: in questo scenario "Valido da" o "Valido a" è errato

  • Certificato per un sito Web diverso: in questo scenario "Oggetto" non è valido

Ricordo che mi è stato detto che su un certificato sospetto alcuni campi dovrebbero essere verificati manualmente / esplicitamente. Non riesco a ricordare quali campi tra quelli sopra siano rilevanti, né cosa cercare in questi campi.

Ad esempio, che cosa succederebbe se il campo "Vincoli di base" nel certificato fosse danneggiato? O se il campo "Criteri certificati" è sbagliato?

Quali campi di un certificato sospetto dovrei esaminare?

A CURA: Risposte utili tutto intorno Grazie!

Qual è il significato dei campi "Vincoli di base" e "Criteri dei certificati"? Ho dato un'occhiata al RFC5280 ma sono troppo denso per capire il significato della descrizione

    
posta Everyone 16.12.2011 - 12:49
fonte

4 risposte

5

Guarda anche il campo Emittente ! Come discusso in Come è possibile che una CA venga violato? , non puoi davvero fidarti di tutto il Certificato Autorità là fuori, e in realtà l'intero modello CA è imperfetto. Quindi, un campo da esaminare è il campo Emittente e potresti desiderare una funzione del browser che noti se stai guardando un certificato emesso da una CA non affidabile. Ciò riguarda sia le CA di proprietà o eccessivamente influenzate da paesi che non si vuole fidare dei propri dati, né le CA che hanno procedure di sicurezza o di emissione difettose e hanno certificati fraudolenti certificati erroneamente.

Un altro caso a cui dovresti stare attento è il caso in cui il tuo certificato server emette certificati tramite una CA che è stato inserito nel tuo browser - qualcosa che alcune organizzazioni fanno perché non si fidano dei loro dipendenti. Vedi per es. alcuni dei software proxy aziendali come Blue Coat , che possono essere utilizzati anche in Siria.

    
risposta data 27.12.2011 - 01:15
fonte
3

Bene, in qualche modo dipende dal grado di professionalità del sito web che stai visitando e dalla sensibilità delle informazioni che condividi con il sito web.

  • Se è il sito web della tua banca o il sito web richiede i dati della tua carta di credito, non tollererei alcun errore.

  • Un sito web come MDN non gestisce alcuna informazione sensibile (tranne la tua password MDN), ma è gestito da professionisti . Qualsiasi errore qui è sospetto.

Per quanto riguarda gli errori particolari che hai citato:

  • Il certificato non è ancora valido , scartando la possibilità di un sindaco rovinare l'amministratore del sito web, di solito significa che l'orologio di sistema del tuo computer non è impostato correttamente. Inizia con il controllo.

  • Il certificato scaduto di solito significa esattamente questo. Ciò può accadere su siti web semi-professionali, ma questo non potrebbe accadere sul sito web della tua banca.

  • Il certificato è per un sito web diverso è comune anche su siti web semi-professionali.

    • Se il sito che stai visitando è foo.example.com e il certificato è per bar.example.com , controlla se entrambi i siti appartengono allo stesso servizio (ad es. fatturazione e supporto). Se lo sono, l'amministratore ha mancato una lezione o due quando ha imparato come configurare un sito Web, ma non c'è alcun problema reale.

    • Se foo.example.com e bar.example.com appartengono a servizi diversi (ad es. blog di persone diverse), non andare oltre.

    • Se stai visitando example.com , ma il certificato è per scam.com , non andare oltre.

  • Il certificato non è attendibile significa che il certificato non è stato firmato da un'autorità di certificazione attendibile.

    • Chiunque può creare un certificato per yourbank.com e firmarlo personalmente, ma il certificato da un sito web professionale sarà sempre firmato da un'autorità di certificazione attendibile.

    • I siti web semi-professionali e privati utilizzano spesso certificati autofirmati, poiché sono facili da creare e gratuiti. Il problema è che, mentre forniscono la segretezza (crittografia), non forniscono alcuna riservatezza (chiunque potrebbe falsificare il certificato). Se il sito richiede informazioni che non si immettono su un sito Web non criptato, non procedere.

risposta data 16.12.2011 - 14:02
fonte
3

È inutile guardare i campi: se un certificato è valido o meno è il prodotto di un complicato algoritmo (vedere la sezione 6 di RFC 5280 - ma non farlo se vuoi mantenere la tua sanità mentale più o meno intatta) e il browser è migliore di te a eseguire quell'algoritmo (molti browser sono in realtà piuttosto malvagi, ma esseri umani sono solo peggio). Un'attenta analisi manuale può finire con l'evidenziare il punto plausibile in cui il proprietario del server o la sua CA sbagliano; ma non puoi escludere logicamente la possibilità di un attacco. Se il browser dice "non va bene", allora non va bene. Se esistesse un modo semplice per "salvare" un cattivo certificato, il browser lo implementerebbe e non segnalerebbe un errore.

Gli unici campi che vale davvero la pena guardare sono le date di validità: ci sono due situazioni comuni che si manifestano con un messaggio "certificato scaduto" o "certificato non ancora valido", e almeno uno di essi può essere risolto il tuo lato:

  1. Il certificato è scaduto poche ore fa. Il proprietario del server ha dimenticato di rinnovarlo in tempo. Poiché i controlli di revoca sono per natura asincroni, può decidere di tollerare un certificato leggermente scaduto (con "leggermente" intendo "entro uno o due giorni al massimo"). Questa è la tua decisione.

  2. Il certificato è attualmente valido; questo è il tuo computer che ha un orologio sbagliato. Se le date di inizio e di fine validità del certificato sembrano racchiudere la data corrente, è il momento di verificare se la data e l'ora sono configurate correttamente sulla macchina. Ad esempio, ho un vecchio portatile che ha la tendenza a tornare al 1969 quando lasciato da solo per più di qualche giorno.

risposta data 26.12.2011 - 22:14
fonte
-1

Quali altri controlli diversi da valid from e valid to puoi fare? È come se qualcuno ti desse (suppongo che tu sia in India) ti dà una banconota dall'Argentina. Come si controlla che sia valido?

    
risposta data 16.12.2011 - 21:00
fonte

Leggi altre domande sui tag