Come configurare il browser per rilevare i certificati revocati?

Naviga le tue risposte
5

Nel contesto del bug Heartbleed mi piacerebbe essere sicuro di poter rilevare se qualcuno tenta di eseguire un attacco MITM con un certificato rubato, che da allora è stato revocato. Il problema è che il browser è solo soft-fail o non controlla affatto il CRL perché soft-fail è inutile. Firefox consente di rendere obbligatoria la risposta OCSP ma presenta svantaggi significativi. Quali sono le impostazioni / i plug-in consigliati da utilizzare per rilevare i certificati che sono stati revocati da quando è stato annunciato Heartbleed? In particolare mi piacerebbe

  • Rendi obbligatorio OCSP per i certificati emessi prima del 04/07. Forse con un ripiego a qualcosa come Prospettive . Esiste una tale estensione / è in fase di sviluppo?
  • Avere il record CRL di un certificato memorizzato nella cache dalla mia precedente visita a un sito. Ciò non aiuta contro l'attacco di MTM durante la mia prima visita, ma noterei un MITM con un certificato revocato in ogni visita successiva.

Qualche altro consiglio sulle impostazioni delle estensioni per risolvere questo problema? Sono felice di cambiare il browser per risolvere il problema, quindi i consigli per qualsiasi browser sono i benvenuti.

    
posta Roland Schulz 10.04.2014 - 22:36
fonte

2 risposte

4

L'unica soluzione che sono riuscito a trovare è utilizzare Firefox o Internet Explorer e abilitare hard-fail.

Per Firefox:

  • Vai a Opzioni - > Avanzate: > Certificati- > Validazione
  • Seleziona la casella "Quando una connessione al server OCSP fallisce, considera il certificato non valido"

Per Internet Explorer:

  • Può essere abilitato solo nel registro utilizzando FEATURE_WARN_ON_SEC_CERT_REV_FAILED. Post del blog con file reg è qui .

Per Chrome:

Per Opera:

  • Non lo so.

Nota che l'hard-fail ha svantaggi . Quindi non abilitarlo per amici / famiglie che potrebbero essere confusi dai possibili falsi positivi.

    
risposta data 22.04.2014 - 10:02
fonte
0

Dopo la creazione SSL sul server remoto, la catena di certificati viene recuperata per garantire la fiducia dell'host, se viene revocato qualsiasi certificato nella catena, la catena verrà interrotta e si riceverà un errore di certificato (sito non affidabile) in seguito entrando.

Ecco perché utilizziamo CA di root esterni come Godaddy e simili, per confermare l'identità del server remoto.

Se il caso riguarda una PKI interna, potrebbe essere diverso, correggimi se ho torto.

    
risposta data 10.04.2014 - 22:44
fonte

Leggi altre domande sui tag

Quale parte della CSR è sottoposta a hash per creare la sua firma? Applet Java - Richiede il certificato di firma del codice rispetto al certificato SSL