Cos'è un fornitore di certificati S / MIME affidabile che genera la mia chiave privata nel mio browser?

4

Ho letto questo domanda sul processo di generazione di una chiave privata S / Mime. Ho guardato Comodo, che offre certificati e-mail gratuiti. Sto cercando di scoprire se Comodo genera la chiave di crittografia privata sui propri server o se è stata generata localmente.

Le Domande frequenti su Mozilla sono le seguenti:

To obtain certificate from an authority: Browsers such as Firefox, MSIE, Opera, Safari and so forth contain cryptotools capable of generating public/private keypairs. When signing up for a certificate with an authority, their website triggers your browser to create a keypair and transmit to them the public key, which is then certified. For this reason, when you return to pick up your completed certificate (typically a few minutes later), it is mandatory that you do so with the same browser on the same computer . You will otherwise not possess the private key necessary for pickup.

Ho appena richiesto il mio certificato in Safari e l'ho raccolto in Chrome - e ha funzionato (la chiave privata è nel mio portachiavi).

Il testo di tutte le e-mail e le FAQ frequenti è un po 'opaco (o non ho ancora trovato il posto giusto):

"Simply click on the button below to collect your certificate."

Questo processo viene sempre eseguito localmente oppure esiste un modo per confermare che la generazione della chiave privata è stata eseguita localmente?

E oltre a questo:

1. Conoscerai un fornitore oltre a Comodo (che ha un pessimo track record di sicurezza) per fornire la certificazione S / MIME gratuita che è universalmente affidabile?

2. Ne sapresti uno che costa un po 'di denaro con un record / documentazione / record migliore in cui sai come viene generata la chiave?

Grazie mille!

    
posta Matthias 23.08.2013 - 18:23
fonte

1 risposta

4

Se vai a pagina di Comodo per il certificato S / MIME gratuito , puoi dare un'occhiata al "Contratto di sottoscrizione" che include, nella sezione 3.1, quanto segue:

The Subscriber's web browser will automatically generate a Private Key/Public Key pair during the signing up process.

Quindi sembra che il processo coinvolga una coppia di chiavi generata localmente, come dovrebbe.

Provando il processo, vedo quanto segue:

  • Viene visualizzata brevemente una finestra del mio browser che parla della generazione della coppia di chiavi.
  • Viene inviata un'e-mail che dice che potrei "raccogliere" il certificato su un URL Web specifico, con la password della raccolta (inclusa nell'email). L'e-mail include la frase: "NOTA: si consiglia vivamente di esportare il certificato in un luogo sicuro nel caso in cui sia necessario ricaricarlo in seguito."
  • Se provo a ritirare il certificato con un altro browser, quel browser si lamenta della mancanza di una chiave privata corrispondente.
  • Se controllo il codice sorgente HTML della pagina di raccolta, vedo un pezzo di JavaScript che include un oggetto PKCS # 7 con codifica Base64 (aka CMS ), che include il mio certificato ma nessuna chiave privata (non esiste uno standard per inserire una chiave privata in un oggetto PKCS # 7).

Quindi posso affermare con sicurezza che la chiave privata è stata generata nel mio browser, non sui server di Comodo. Il test cross-browser è il più preciso qui: se la chiave privata è stata generata lato server, avrebbe funzionato. Ma tutti gli altri elementi suggeriscono strongmente la stessa conclusione.

    
risposta data 23.08.2013 - 19:14
fonte

Leggi altre domande sui tag