In che modo Let's Encrypt previene gli impostori?

Question

In che modo Let's Encrypt previene gli impostori?

#1 da (7 voti)

3

Poiché Let's Encrypt non fornisce la convalida delle entità, è vero che è possibile, ad esempio, generare un certificato con "Facebook Inc." come Organizzazione per un dominio fasullo faceb00k.com ?

certificates certificate-authority letsencrypt

posta dnang 01.07.2016 - 06:27

fonte

1 risposta

Leggi altre domande sui tag certificates certificate-authority letsencrypt

Divulgazione di file dell'utente finale o installazione di cavalli di Troia tramite XSS Autenticazione reciproca del server SFTP

score 7 · Accepted Answer

Sebbene Let's Encrypt emetta i certificati certificati convalidati dal dominio e questi garantiscono solo che un certificato è stato richiesto da un'entità proprietaria il dominio, ha politiche in atto per prevenire impostori in determinati casi.

In base alla clausola "3.2.4.3 Verifica contro richieste di certificati ad alto rischio" in "Dichiarazione di pratica di certificazione ISRG" (v1.4, 5 maggio 2016) :

To prevent potential phishing, fraudulent use and to take further precautions against potential compromise, The CA maintains a list of prior high risk requests and checks a third-party authority list specifying current high risk Domain Names. This list is used by servers to identify potential risks. Should an application with any potential risk posed to the CA or a Domain Name listed on the third-party authority list, it will be flagged and brought to the attention of management to complete further internal verification. To prevent high-risk Issuance of a DV-SSL Certificate this internal verification will require one or more the following pieces of evidence:

Request further documentation confirming control of the domain from the Applicant;

Careful examination of the FQDN to confirm whether the intent of the Domain Registrant or Applicant is to imitate or mislead customers of an FQDN on the high risk third party authority list in order to commit fraudulent or phishing activities (e.g. www.g00gle.com, www.1dentrust.com, etc.) and specific filters that are established at the system level to deny initial applications (e.g., non-US ASCII characters);

Manual review of all information provided in the online application form; and/or

Other verifiable proof as deemed necessary by the CA management.

In base a quanto sopra è (molto probabile) non vero che è possibile ottenere un certificato per faceb00k.com .

Indipendentemente da ciò, Let's Encrypt certificates solo il valore del nome comune impostato su un dominio verificato (ad esempio CN=example.com ), quindi non potresti mai ottenere un certificato da loro con O=Facebook Inc. , anche per un dominio non soggetto al processo di verifica precedente.