Credo che VeriSign abbia rilasciato una grande quota di certificati SSL mondiali. Molte società e governi li usano. È possibile che una persona che ha accesso alle chiavi private di Verisign ne intrufoli una coppia e avvii molti attacchi man-in-the-middle non rilevabili? Non è troppo potere per una singola persona avere (potenzialmente) accesso alla grande parte delle informazioni segrete dei mondi?
Sono nuovo nel campo della sicurezza, scusami se questa domanda è sciocca.
Le grandi CA dovrebbero implementare controlli approfonditi per prevenire o almeno rilevare certificati emessi in modo errato. Le procedure applicate da Verisign sono descritte nella loro dichiarazione pratica di certificazione . Vedi in particolare i loro "controlli procedurali" e "controlli del personale", pagine 28-31 (a partire dalla versione 3.8.4 del documento, pubblicato il 1 marzo 2011): alcuni compiti richiedono la collaborazione di diversi dipendenti che si controllano a vicenda, ci sono verifica di fondo (stato criminale, debito ...), molti registri sono prodotti e controllati ... In larga misura, queste procedure sono del tutto simili alle procedure per il lancio di un attacco nucleare, e, francamente, penso che un poche centinaia di testate nucleari sono solo un po 'più preoccupanti di un paio di certificati falsi.
Leggi altre domande sui tag tls certificates