La verifica di un'impronta digitale pre-condivisa di un certificato è sufficientemente buona per TLS?

4

Una terza parte a cui il mio sistema deve connettersi (tramite FTPS) utilizza un certificato che non è considerato affidabile dalla macchina (certificato sconosciuto).

Se voglio evitare di installare i certificati dall'autorità di emissione su tutti i server sui quali la mia applicazione deve essere eseguita, potrei in alternativa fare in modo che la terza parte confermi l'impronta digitale SHA-256 del loro certificato in anticipo, e basta sovrascrivere la logica di convalida del certificato per verificare l'impronta digitale?

Fornirebbe lo stesso livello di sicurezza dell'installazione dei certificati dall'autorità di emissione?

Ho letto le risposte a questa domanda , e mi fa pensare che va bene, ma la mia domanda è di configurare la mia applicazione con le impronte digitali e usarle per convalidare i certificati ricevuti invece di controllare manualmente le impronte digitali durante la navigazione ecc.

    
posta Ergwun 10.03.2017 - 05:58
fonte

1 risposta

3

Ciò a cui ti riferisci è solitamente chiamato pinning, ovvero verifica che il certificato o la chiave pubblica in esso siano noti all'applicazione confrontando il certificato / pubkey stesso o utilizzando un'impronta digitale per la convalida.

Questo è un modo perfettamente valido per convalidare un certificato fintanto che l'impronta digitale è abbastanza strong, vale a dire che l'SHA-256 sta bene mentre MD5 è considerato a lungo rotto e gli attacchi pratici contro SHA-1 sono stati appena mostrati, quindi è anche male. Ma avendo solo il pinning non offre un modo al client di verificare la revoca dei certificati. Questo potrebbe andar bene se il controllo del certificato viene eseguito all'interno di un'applicazione e l'applicazione verrà rapidamente aggiornata con una nuova impronta digitale quando necessario, ma non è una buona idea se non c'è modo di aggiornare l'impronta digitale prevista in modo sicuro.

    
risposta data 10.03.2017 - 06:28
fonte

Leggi altre domande sui tag