È responsabilità di un'autorità di certificazione garantire che un SSL non venga utilizzato a scopi nefandi?

4

L'ho letto nelle notizie di recente

Let's Encrypt has issued 15,000 SSL certificates to PayPal phishing sites (Security experts call on firm to refuse certificates for domains containing popular brand names)

link

Sono consapevole che HTTPS non indica necessariamente un sito di cui ti puoi fidare, solo che la connessione è sicura. Tuttavia, l'emittente ha la responsabilità giuridica e / o morale di controllare come vengono utilizzati i certificati?

È responsabilità di un'autorità di certificazione garantire che un SSL non venga utilizzato a fini nefandi?

    
posta Goose 28.03.2017 - 20:03
fonte

2 risposte

4

No .

Una CA ha la responsabilità di verificare che la persona che richiede un certificato per un dominio sia effettivamente proprietaria del dominio in questione. Non spetta alla CA eseguire la censura dei nomi di dominio, né per controllare ciò che le persone fanno con un certificato una volta che ce l'hanno.

Ora, la tua preoccupazione è già affrontata dai livelli più elevati di certificati SSL, ma spetta alla corporazione richiedere al Cert di spendere più tempo e denaro per ottenerlo.

Esistono due livelli di certificati che puoi acquistare: Domain Validation (DV) e Extended Validation (EV). I certificati DV sono progettati per avere l'emissione automatica e sono il tipo di certificato che Let's Encrypt genera. I certificati EV hanno livelli di controllo molto più elevati prima dell'emissione e richiedono chiamate telefoniche, pratiche burocratiche, ecc.

wikipedia / Extended_Validation_Certificate :

Issuing criteria

Only CAs who pass an independent qualified audit review may offer EV,[5] and all CAs globally must follow the same detailed issuance requirements which aim to:

  • Establish the legal identity as well as the operational and physical presence of website owner.

  • Establish that the applicant is the domain name owner or has exclusive control over the domain name.

  • Confirm the identity and authority of the individuals acting for the website owner, and that documents pertaining to legal obligations are signed by an authorised officer.

Si noti che per i certificati EV, l'entità legale che richiede la certificazione deve essere una società, non un individuo, e il nome della società è incluso nel certificato e appare nella barra di stato del browser.

ex: certificato non EV:

ex:EVcert:

NotacomevienevisualizzatoilnomelegalediPayPalnellabarradegliindirizzi?Questoèquasiimpossibiledafalsificare,estiamoalzandoillivelloperglispammer:l'unicomodoperottenere"PeyPal, inc" sarebbe quello di incorporare effettivamente una società, che le organizzazioni criminali in genere non vogliono fare. Quindi, una volta che gli utenti si abituano a cercare questo sui siti web di grandi nomi, questo problema si risolverà da solo. Sfortunatamente, a causa della quantità di verifica manuale, i certificati EV sono costosi (centinaia di $ USD all'anno) e CA come Let's Encrypt o Godaddy non li offriranno mai.

In generale, una CA è come l'ufficio passaporti o l'ufficio che rilascia le patenti di guida; hanno la responsabilità di garantire che A) tu sia chi dici di essere, e B) di aver soddisfatto i requisiti (ovvero sei un cittadino / hai superato i tuoi test di guida). Non hanno alcuna responsabilità di tenere traccia di ciò che stai facendo con tale ID, né è legale per loro revocare il tuo passaporto / patente di guida anche se li usi per scopi illegali.

Indirizzamento del commento:

Is there a history of certificate issuers revoking certificates because of nefarious use, even though they don't have a legal responsibility to do so?

No, decisamente no. Una CA si spegnerebbe se lo facessero.

Pensaci in questo modo: le autorità di certificazione devono essere una terza parte completamente neutrale e globalmente affidabile. Se hanno il potere di esprimere giudizi su ciò che conta come "nefasto" e revocare i certificati basati su quello, allora non sarebbero neutrali e di fiducia globale, ora sarebbero?

Potresti pensare che il browser potrebbe riunirsi e fare un rigido insieme di regole per ciò che conta come "nefasto", in modo che le CA stiano quindi applicando le regole. Ma cosa potrebbe effettivamente portare a termine? Phisher e truffatori sono molto bravi a infrangere le regole. Probabilmente passeremmo più tempo e sforzi a discutere delle regole piuttosto che l'entità del vantaggio che otterremmo.

    
risposta data 28.03.2017 - 20:05
fonte
3

does the issuer have a responsibility either legal and/or moral to police how it's certificates are used?

Ordina. Anche se potrebbero non essere ritenuti responsabili per l'effettivo utilizzo dei certificati dopo che sono stati rilasciati, gli emittenti hanno le proprie politiche in merito alla gestione di potenziali certificati fraudolenti.

Queste politiche sono legalmente vincolanti in una certa misura, anche se potrebbe essere discusso se lo scopo delle clausole è quello di giustificare il rifiuto di rilasciare un certificato (le questioni legali sono fuori dalla portata di Security.SE).

Let's Encrypt policy "3.2.4.3 Verifica contro richieste di certificati ad alto rischio" in "Dichiarazione pratica di certificazione ISRG" (v1.4, 5 maggio 2016) afferma:

To prevent potential phishing, fraudulent use and to take further precautions against potential compromise, The CA maintains a list of prior high risk requests and checks a third-party authority list specifying current high risk Domain Names. This list is used by servers to identify potential risks. Should an application with any potential risk posed to the CA or a Domain Name listed on the third-party authority list, it will be flagged and brought to the attention of management to complete further internal verification. To prevent high-risk Issuance of a DV-SSL Certificate this internal verification will require one or more the following pieces of evidence:

  • Request further documentation confirming control of the domain from the Applicant;
  • Careful examination of the FQDN to confirm whether the intent of the Domain Registrant or Applicant is to imitate or mislead customers of an FQDN on the high risk third party authority list in order to commit fraudulent or phishing activities (e.g. www.g00gle.com, www.1dentrust.com, etc.) and specific filters that are established at the system level to deny initial applications (e.g., non-US ASCII characters);
  • Manual review of all information provided in the online application form; and/or
  • Other verifiable proof as deemed necessary by the CA management.

Sicuramente le CA possono rifiutare di rilasciare un certificato - stanno ancora operando come aziende e non puoi costringere una società a fornire un determinato servizio a te, perché lo vuoi (a parte i diritti dei consumatori).

La revoca è un problema diverso, però.

    
risposta data 29.03.2017 - 02:17
fonte

Leggi altre domande sui tag