Dopo che l'email [email protected] è stata compromessa, abbiamo scoperto che qualcuno ha emesso un messaggio
Certificato SSL convalidato dal dominio per il nostro dominio.
Ora vogliamo che tutti questi certificati vengano revocati.
C'è un modo per trovare tutti i certificati rilasciati al nostro dominio da diversi provider SSL?
Non esiste una directory globale di tutti i certificati emessi (X.509 è stato progettato per supportare la Directory, ma non è mai esistito nella pratica). Dovrai contattare "tutti i CA" e chiedere loro gentilmente. Fondamentalmente, questo significherebbe andare al loro sito e usare la funzione "Ho perso la mia password" in modo da riprendere il controllo del tuo account, se esiste. I dettagli variano a seconda della CA.
In senso stretto, il numero di possibili CA non è limitato. È possibile iniziare con la CA radice utilizzata dal normale sistema operativo o browser, ma ciascuna di queste CA potrebbe aver rilasciato certificati per la CA secondaria che mantiene il proprio elenco di clienti. Ad esempio, il mio certificato di dominio è stato emesso dal mio registrar, che è un CA intermedio che ha ottenuto il certificato da un'altra CA radice. Pertanto, non puoi essere certo che hai rilevato e revocato tutti i certificati emessi nel tuo nome.
Ci sono alcune circostanze attenuanti, però:
Per ottenere i certificati falsi, l'autore dell'attacco deve avere pagato per loro. Questo potrebbe aver coinvolto numeri di carte di credito rubati, ma quando il pagamento rimbalza, la CA lo noterà ("dove sono i miei soldi?") E potrebbe revocare automaticamente i certificati incriminati. D'altra parte, se la carta di credito era autentica, allora potrebbe puntare sull'hacker.
Analogamente, poiché l'aggressore doveva pagare in qualche modo, probabilmente si concentrava su un paio di CA, non su un centinaio.
I certificati scadono dopo uno o due anni (perché CA vuole che i loro clienti siano clienti ricorrenti ). Quindi tutto tornerà a ordinare entro il 2016.
Molti sistemi operativi o browser non controllano comunque la revoca. Quindi, revocare i certificati è bello ma in realtà non risolve le cose.
Risolvendo parzialmente il problema sottostante, puoi usare Public-Key-Pins header per limitare quali certificati sono validi per il tuo dominio (quindi un certificato rubato potrebbe essere usato solo da un man-in-the-middle se usato sulla prima connessione a il tuo sito).
Puoi anche utilizzare Public-Key-Pins-Report-Only per ottenere le notifiche per la convalida del PIN fallita.
Entrambe le intestazioni sono definite in draft-ietf-websec-key-pinning .
Temo che per capire se l'attaccante ha richiesto più certificati, dovresti davvero chiedere a tutte le CA (sarebbe un ottimo post sul blog se davvero andassi su questa strada, comunque).
Leggi altre domande sui tag public-key-infrastructure tls certificate-authority certificate-revocation