Che cosa fa esattamente la trasparenza dei certificati?

Naviga le tue risposte
4

Ho enormi problemi a capire come la trasparenza dei certificati sia diversa da meccanismi come CRL o OCSP che consentono di ottenere lo stato di un certificato contattando direttamente la CA.

  • Quali nomi di domini vengono contattati quando un'applicazione vuole controllare il certificato di un server specifico. Cosa viene inviato al nome di quei domini? (So solo che si tratta di registri)
  • Poiché nessuna richiesta viene inviata alla CA in alcuna parte del processo, perché non può funzionare se l'emittente del certificato non supporta la trasparenza del certificato?
  • Protegge solo da certificati errati o può sostituire completamente OCSP perché protegge ogni caso di certificati revocati (ad esempio, da utenti malintenzionati che hanno rubato chiavi private su un server) ?
  • Il server, a cui il client tenta di connettersi, deve supportare la trasparenza del certificato? (come con la pinzatura OCSP)
posta user2284570 17.07.2016 - 00:21
fonte

1 risposta

5

Trasparenza certificato risolve un problema diverso da CRL e OCSP.

OCSP e CRL gestisce il problema della revoca dei certificati. La CA offre una risoluzione per errori e cattive azioni da parte degli utenti della CA. Cioè, si presume che la CA sia infinitamente affidabile, ma potrebbe essere necessario revocare un certificato a causa di una cattiva gestione delle chiavi o di una sorta di errore relativo all'emissione del certificato. La CA infinitamente affidabile pubblica quindi un elenco di certificati revocati (il CRL) e utilizza OCSP per garantire che i client ottengano il messaggio.

La trasparenza del certificato, d'altra parte, affronta il fatto che le CA non sono, in effetti, infinitamente affidabili. In passato, le CA erano state in grado di sfruttare il fatto che la firma del certificato non è un evento pubblico. Un certificato può essere correttamente firmato ma mai visto dal pubblico. Se una CA dannosa firma un certificato per l'uso contro una singola vittima, quella vittima potrebbe essere l'unico cliente a vedere il certificato, rendendo estremamente difficile la rilevazione del malfunzionamento.

Trasparenza certificato sposta la firma del certificato nella visualizzazione pubblica. Le CA cooperanti pubblicano immediatamente i dettagli di ogni certificato che firmano per uno dei vari registri pubblici mantenuti al di fuori del controllo della CA. Se il client richiede trasparenza dalla CA in questione, i certificati della CA non sono considerati validi dal browser a meno che non siano stati pubblicati nel registro pubblico. CT è relativamente nuovo, tuttavia, quindi l'applicazione è quasi inesistente.

    
risposta data 18.07.2016 - 02:06
fonte

Leggi altre domande sui tag

Appaltatore IT con le migliori credenziali dell'amministratore del dominio? L'amministratore Wi-Fi del mio college può ottenere il numero di serie / IMEI del mio dispositivo?