Una CA è obbligata a rilasciare un certificato per una richiesta legittima comprovata?

3

Come suggerito in Qualche tecnologia evitare che una CA revochi un certificato unilateralmente? , sono un po 'a disagio con la possibilità che le CA concedano effettivamente licenze per il funzionamento di un sito web (data la de facto deprecazione di HTTP non crittografato).

Vi sono obblighi in capo a una CA di emettere un certificato se l'entità richiedente fornisce il livello necessario di verifica dell'identità?

    
posta Phil Lello 22.03.2016 - 19:18
fonte

1 risposta

4

Buona domanda.

Stai pagando la CA per il servizio di verifica del tuo CSR contro i registri pubblici e mettendo in pericolo la tua reputazione. Non sono sicuro che una CA sia contrattualmente obbligata a fornire il servizio. È richiesto un avvocato che ti rappresenti in tribunale non appena entri nel loro ufficio?

Suppongo che una CA abbia l'autorità sia per:

  1. Rifiuta di certificare qualsiasi CSR per qualsiasi motivo ritenga opportuno.
  2. Revoca qualsiasi certificato in qualsiasi momento, per qualsiasi motivo ritenga opportuno.

Posso capire perché ciò causerebbe qualche preoccupazione pubblica in un mondo post-Snowden. Permettetemi di assicurarvi che (per quanto ne so io) le AC sono società private che agiscono in base ai loro stessi interessi economici senza affiliazioni governative e che le radici pubbliche SSL sono regolarmente verificate da molti panel governativi multinazionali e del settore. per quel tipo di frode. Una CA catturata facendo qualcosa di sporco uscirà molto rapidamente dal mercato.

Come ha detto @Matthew nella risposta principale alla domanda collegata, l'intero sistema funziona su

Peer pressure, effectively.

[Disclaimer da quando sono stato accusato di pregiudizi prima; Lavoro per una CA]

Anche se non è nella tua domanda, mi piacerebbe fare una distinzione tra Domain Validated certs e Extended Validation certs.

Un certificato DV ti costerà 0 $ - 5 $ e l'emissione è completamente automatizzata: devi solo dimostrare di essere il proprietario del registro DNS e di poter posizionare un file sul server che risponde a quell'indirizzo IP . Sebbene non ci sia garanzia che questo sia privo di influenza politica, è abbastanza sicuro.

I certificati EV riguardano persone e documenti, telefonate e altro. Questo è quello in cui i tuoi sospetti potrebbero essere giustificati.

Dato che i certificati DV sono così facili da ottenere, il timore che una CA (o un consorzio politico di CA?) possa di fatto bloccare un sito web dal funzionamento non è realmente giustificato - finché tu Stai bene con il semplice lucchetto vecchio, non con la super-barra verde.

    
risposta data 22.03.2016 - 19:28
fonte

Leggi altre domande sui tag