Ci sono state proposte per l'automazione della concessione e del rinnovo del certificato EV?

3

Con Let's Encrypt è la prima CA a implementare ACME, l'impostazione TLS sui domini è diventata poco costosa, facile e, soprattutto, automatizzata.

Let's Encrypt ha chiarito che EV è lungi dall'essere un obiettivo immediato della loro organizzazione , a causa della sua esigenza di sforzo umano, che non sarebbe possibile usando il loro modello automatizzato - ma nel corso degli anni sono venute fuori proposte per automatizzare la firma del certificato di convalida estesa o per distribuire alternative a EV, consentendo automazione più facilmente?

    
posta Jules 16.01.2017 - 23:49
fonte

3 risposte

2

L'EV e il certificato normale hanno in mente un obiettivo molto diverso. Da un lato, i certificati sono per tutti. Tutti possono e devono ottenere un certificato per il loro dominio, l'unico requisito è possedere il dominio.

L'EV d'altra parte è una vera prova di identità, non solo il dominio ma che questo dominio è davvero il dominio di questa società che sei in realtà un rappresentante di questa azienda, ecc. Non verifica solo il dominio proprietà ma la vera identità fisica. Questo è un livello più elevato di verifica dell'identità e quindi un più alto livello di fiducia e ovviamente non può essere automatizzato. E anche se potesse non farlo, la verifica umana è esattamente ciò che lo rende più prezioso.

Il punto di Let's Encrypt è che è facile da ottenere, in modo che ogni singolo sito Web su Internet ottenga https.

Il punto di EV è che è difficile da ottenere. In modo che il phishing diventa più difficile. Probabilmente puoi ottenere un certificato per un dominio che tenta di imitare un dominio ben noto ma non puoi ottenere un certificato EV per tale dominio, perché nessun essere umano lo consentirebbe.

Quindi rendere il certificato EV gratuito e automatizzato dai robot manca completamente il punto di EV e abbasserebbe la fiducia che otteniamo in tutti gli altri domini di EV protetti. Non ha senso avere l'EV, se tutti ne hanno uno gratis automaticamente. Il prezzo extra e la verifica sono ciò che rende EV ... EV.

    
risposta data 17.01.2017 - 01:00
fonte
1

L'EV semiautomatico e istantaneo che soddisfa i criteri di emissione potrebbe essere praticabile in giurisdizioni come l'Estonia, dove (i ) la popolazione ha le smart card ed è in grado di creare firme digitali con esse, e (ii) ci sono (presumibilmente) macchine - registri degli affari legali leggibili che, in linea di principio, dovrebbero sapere chi è autorizzato a fare le firme per conto di un'organizzazione.

In teoria, l'unico intervento richiesto, almeno per il rinnovo, sarebbe che il rappresentante del registrante di dominio inserisca il suo PIN in un lettore di smart card, con la scheda inserita, per firmare l'autorizzazione di rinnovo.

    
risposta data 17.01.2017 - 02:05
fonte
1

In generale, i certificati EV oi certificati Extended Validation mirano a una convalida approfondita del richiedente e del sito a cui il trust è vincolato. Rendere automatizzato questo processo perde il valore della convalida estesa.

In generale, cert e validation sono per tutti. Ma questo non giustifica realmente la prova dell'identità o la validità dell'organizzazione. L'emissione di EV non solo verifica che il richiedente sia il proprietario del dominio ma verifica anche l'identità fisica e quindi il processo di registrazione e registrazione è più rigoroso e attraverso, implicando direttamente che la fiducia che gli EV portano sul tavolo sono solitamente molto alti e se automatizzato perde un valore significativo.

Al contrario, con l'aumento delle problematiche di sicurezza informatica e dei principali attacchi dovuti ai flussi di crittografia del fine settimana, diventa ancora più importante assicurarsi che tali misure di fiducia siano più difficili da ottenere e difficili da interrompere, cosa che può accadere con una stretta vigilanza monitoraggio e registrazione. Diversi concetti sono stati introdotti e seguiti dall'Autorità di certificazione e dal forum dei browser per garantire che il processo di rilascio del certificato sia controllato e verificato da varie agenzie.

    
risposta data 17.01.2017 - 05:31
fonte

Leggi altre domande sui tag