Certificato SSL Attacco MITM per domini scaduti

7

Diciamo che ho un nome di dominio, come mysupercoolproduct.com . Compro un certificato SSL di 2 anni per questo, e poi sono negligente e il dominio viene prelevato da qualcun altro. Ho ancora un certificato SSL valido per il dominio, ma non possiedo più il dominio. (Ciò potrebbe verificarsi anche se ho venduto il dominio a qualcuno)

Quali meccanismi sono in atto per invalidare un certificato SSL con firma valida ma illegittimamente posseduto? Dal momento che il mio certificato di certificazione SSL è stato firmato da una CA legittima, i browser non hanno motivo di non fidarsi. Questo mi permetterebbe di tirare fuori l'attacco del MITM del secolo fino alla sua scadenza.

Esistono modi per invalidare globalmente tutti i certificati SSL per un dominio, se il dominio scade o viene venduto a un'altra azienda?

    
posta DarthCaniac 26.05.2016 - 18:06
fonte

1 risposta

2

Infrastruttura PKI fornisce i mezzi per farlo tramite gli elenchi di revoche. Se acquisti un dominio da qualcun altro o ne estrai uno che è scaduto, parte della responsabilità ricade sulla parte acquirente. Dovrebbero fare la dovuta diligenza e contattare l'autorità di emissione della CA per invalidare tutti gli altri certificati che sono là fuori. Sono sicuro che ci sia una sorta di prova richiesta dalla CA prima che invalidi casualmente il certificato di un dominio, ma non l'ho mai fatto prima. Tra OCSP e gli elenchi di revoche standard, questo non dovrebbe essere un problema difficile da superare se i tuoi amministratori web / sys stanno svolgendo il proprio lavoro.

    
risposta data 13.07.2016 - 17:47
fonte

Leggi altre domande sui tag