Quanto è pratica la proprietà "basic limitint" di un certificato nella protezione della mia sessione HTTPS / SSL?

Naviga le tue risposte
6

Supponiamo che un nodo foglia crei un certificato per un dominio diverso, che funge da CA.

I framework più popolari o gli strumenti di validazione della catena SSL verificano i vincoli? C'è qualcosa che dovrei preoccuparmi e rimuovere dal mio ambiente di produzione?

Dovrei preoccuparmi dei certificati di emissione di CA senza vincoli di base?

Come posso proteggere il mio sito web (come operatore di server) e la mia sessione di navigazione web (come utente) da certificati generati da nodi foglia o CA non configurate in modo corretto?

    
posta random65537 01.10.2011 - 01:50
fonte

2 risposte

5

Fino a qualche anno fa (qualcosa come 2003 o 2004, se ricordo bene), Internet Explorer non stava verificando l'estensione "Vincoli di base". Quando questo è stato scoperto, Microsoft ha prontamente pubblicato una patch.

In generale, l'estensione "Vincoli di base" è correttamente verificata da tutti i validatori esistenti. Internet Explorer è stato davvero il peggior studente della classe in materia. Si chiama "base" per una ragione: è l'estensione X.509 più semplice da gestire.

Proteggiti dalla CA mal configurata smettendo di fidarti delle ancore di fiducia rilevanti e inviando avvocati per punire tale comportamento scorretto.

    
risposta data 01.10.2011 - 03:38
fonte
2

Moxie Marlinspike ha fatto molte ricerche su SSL. Ne ha presentato alcuni anni fa, tra cui una panoramica dei browser che ignoravano i vincoli di base. Sembra che sia stato risolto ora nella maggior parte delle implementazioni SSL.

Tuttavia, il collegamento è un ottimo orologio se vuoi saperne di più sulle vulnerabilità SSL: -)

    
risposta data 01.10.2011 - 13:51
fonte

Leggi altre domande sui tag

Cosa protegge i cookie? Porte hardware pericolose?