È possibile identificare i certificati ssl in circolazione?

3

È possibile identificare quali autorità di certificazione hanno rilasciato certificati validi per un determinato dominio? Ad esempio, se il mio server lascia il mio controllo per un certo periodo di tempo è possibile determinare se è stato registrato con un CA che non saprei (e quindi determinare se alcuni terzi hanno accesso a una chiave privata valida che faccio non sapere)

    
posta Nicholas Long 22.04.2017 - 12:47
fonte

3 risposte

3

Non è possibile scoprire se tutte le CA esistenti hanno rilasciato un certificato per un dominio specifico. Tuttavia, è possibile ottenere queste informazioni per molte delle CA pubbliche che sono incluse per impostazione predefinita come attendibili nei browser / SO perché queste CA pubblicano i certificati appena emessi in registri certificati accessibili pubblici. Questi registri possono quindi essere monitorati e anche cercati da altri, ad esempio utilizzando l'interfaccia fornita da google .

Sebbene non tutti i CA pubblici pubblichino attualmente tali registri, sembra che Google Chrome richieda questo per tutte le CA pubbliche incluse in Chrome fino ad ottobre 2017 .

Per ulteriori informazioni sull'idea alla base di questi registri e su come funzionano in dettaglio, consulta il sito web per la trasparenza dei certificati .

    
risposta data 22.04.2017 - 15:11
fonte
2

: ecco cosa Trasparenza certificato sta tentando di archiviare.

Certificate Transparency aims to remedy these certificate-based threats by making the issuance and existence of SSL certificates open to scrutiny by domain owners, CAs, and domain users. Specifically, Certificate Transparency has three main goals:

  • Make it impossible (or at least very difficult) for a CA to issue a SSL certificate for a domain without the certificate being visible to the owner of that domain.
  • Provide an open auditing and monitoring system that lets any domain owner or CA determine whether certificates have been mistakenly or maliciously issued.
  • Protect users (as much as possible) from being duped by certificates that were mistakenly or maliciously issued.

(Source)

Questo significa che tu come proprietario del dominio puoi interrogare quali certificati sono stati emessi. Puoi interrogare questi registri per esempio al link . Ecco come appare per example.com:

SinotichequestofunzionasoloperiCertificateAuthoririescheforniscono" Registri di trasparenza del certificato ". Google comunque ...

[...] encourages all CAs to write the certificates they issue to publicly verifiable, append-only, tamper-proof logs. In the future, Chrome and other browsers may decide not to accept certificates that have not been written to such logs. (Source)

    
risposta data 22.04.2017 - 15:11
fonte
0

No, non lo è, ma questo non è un problema (se ho capito bene la tua preoccupazione).

Affinché la CA emetta un certificato, è necessario generare una richiesta di certificato che è associata al server web. Ottieni quindi un certificato che puoi installare su questo server e non su un altro.

Se non avessi il controllo del server web e ora lo fai, basta controllare quali certificati TLS sono configurati per il server (o vari host virtuali). Se sono tutti tuoi, allora stai bene - anche se qualcuno ha un certificato che non può essere utilizzato da nessun'altra parte.

Il caso è un po 'più complicato per un certificato con caratteri jolly - ora dipende se altre persone possono installare o meno host virtuali su di esso.

    
risposta data 22.04.2017 - 14:00
fonte