Perché così tanti browser mostrano siti con certificati revocati?

5

Tutti sembrano concordare sul fatto che è DAVVERO importante proteggere le chiavi private in modo che l'Internet crittografato possa rimanere tale (vedi ad esempio a In che modo le autorità di certificazione memorizzano le proprie chiavi radice private? ). Tuttavia, secondo www.grc.com e altre fonti, molti browser, specialmente quelli mobili, non controllano i siti per i certificati revocati a causa di chiavi compromesse o per qualsiasi altro motivo (vedere link ). Anche la nuova versione mobile di Firefox per iOS non sembra controllare se il certificato del sito è stato revocato.

La mia domanda è molto semplice: perché questa situazione è tollerata? Sembrerebbe essere importante, specialmente con la crescente popolarità dei browser mobili che supportano l'e-commerce ...

    
posta Stone True 28.12.2015 - 01:30
fonte

2 risposte

6

Controllare la revoca è facile. Ma decidere cosa fare in caso di fallimento non è.

Sul sito che hai collegato, scrive Steve Gibson:

Much of the certificate revocation system is badly broken and doesn't actually work!!

Sì.

E più in basso scrive:

Good and complete solutions DO exist.

E non penso sia così. Sfortunatamente non entra nei dettagli.

Per quanto ho capito, si tratta della decisione su cosa fare se il controllo di revoca non produce una risposta, ma solo una volta.

  • Quindi commetti errori di lato e neghi l'accesso al sito ("hard fail")?
  • Oppure sbagli dal lato di "reti di pozzi sono a volte flakey" e permetti l'accesso, magari dopo un click-through-message ("soft fail")?

Se in realtà vi è un attacco contro di te con un certificato revocato, l'attaccante probabilmente controllerà comunque la rete e bloccherà semplicemente le comunicazioni al server di controllo delle revoche. Questa è una mancanza concettuale nel controllo delle revoche.

Alcuni modi per risolvere il problema con approcci diversi sono:

  • OCSP deve pinzare l'estensione
  • certificati di breve durata

Ulteriori letture

risposta data 28.12.2015 - 09:01
fonte
-1

La revoca è veramente atroce. E in genere ciò che accade è un aggiornamento del sistema operativo che li rimuove manualmente dal browser stesso, in contrasto con il browser che lo rimuove attraverso una qualche forma di elenco di revoche. Penso che in questi giorni l'aggiornamento del browser aggiorni anche / rimuove i certificati del browser.

    
risposta data 28.12.2015 - 16:06
fonte

Leggi altre domande sui tag