certificati S / MIME e "fuga di informazioni"

7

Sto considerando di ottenere un certificato S / MIME che verifica il mio nome e indirizzo email. Ho cercato di verificare quali informazioni "perdono" se lo faccio.

La pagina di Wikipedia su S / MIME dice :

Depending on the policy of the CA, the certificate and all its contents may be posted publicly for reference and verification. This makes the name and email address available for all to see and possibly search for. Other CAs only post serial numbers and revocation status, which does not include any of the personal information.

A cosa si riferisce esattamente? CRL? O questo significa seriamente che alcuni CA hanno una sorta di interfaccia pubblica per la ricerca di certificati emessi e le informazioni in essi contenute?

E come faccio a sapere quale è la politica di una determinata CA? Ho appreso le Pratiche di certificazione e le Norme sui certificati e ho letto le CA prescelte, ma non contengono queste informazioni (o non sono riuscito a trovarle).

Il mio nome e il mio indirizzo e-mail non sono informazioni segrete, ma non voglio che diventino pubblicamente ricercabili. Ovviamente il certificato pubblico stesso li contatterà.

Per essere precisi, sto guardando GlobalSign e i loro certificati PersonalSign 2. Sì, ho contattato il loro supporto ma non hanno risposto (almeno ancora).

    
posta lume 07.11.2015 - 22:05
fonte

1 risposta

1

FWIW, ho esaminato le loro informazioni su CRL e OCSP e un accordo con l'utente. Ecco cosa sono stato in grado di determinare.

L'UA dichiara di avere il diritto di revocare il certificato per un numero qualsiasi di motivi fuori dal tuo controllo e anche se chiedi la revoca. Normalmente, non revocano mai un certificato senza chiedere il proprietario, quindi molto probabilmente questo è un evento a bassa probabilità. Se lo revochi, è perché è stato compromesso e quindi sarà in un elenco di revoche da qualche parte.

Perché la revoca è importante?

Perché questo è l'unico caso a cui posso pensare in cui il tuo certificato ha un profilo pubblico.

CRL - Elenco di revoche di certificati - contiene un elenco di ID certificati, non il certificato originale.

OCSP - protocollo dello stato dei certificati online - consente le query in tempo reale per lo stato corrente del certificato. Tuttavia, è necessario l'ID cert per eseguire la query.

In nessuno di questi casi qualcuno può ottenere tutte le informazioni incorporate nel certificato. Quindi, nessuna esposizione di indirizzo email attraverso questi.

Inoltre, sembra che abbiano un prodotto aziendale per il quale un'azienda può eseguire la propria CA secondaria, per i dipendenti. Non ho studiato questo prodotto, tuttavia, è possibile che contenga un database "pubblico" di funzionalità dei certificati. Dato che è l'equivalente di una rubrica interna per i dipendenti, non mi sorprende.

Anche se potresti voler continuare a mettere in discussione le loro politiche in merito alla pubblicazione dei certificati in generale, non sono riuscito a trovare nulla che assomigliasse a ciò che hai menzionato nella tua domanda. Pubblicare certificati emessi è una pratica insolita per qualsiasi autorità di certificazione.

Direi che questo è uno di quei casi in cui Wikipedia potrebbe avere informazioni fuorvianti.

    
risposta data 21.11.2015 - 12:03
fonte

Leggi altre domande sui tag