Server risponditore OCSP e blocco sito dannoso

3

Quindi stavo cercando una risposta a questo, ma nessuno sembrava averlo chiesto prima. Per quanto ho capito, quando mi collego a un sito web. Il browser invia una query a un server OCSP per verificare la validità corrente del suo certificato ssl / tls. Si interroga anche un servizio per verificare se il sito Web è dannoso ("blocco segnalato siti di attacco" su firefox) Mi è venuto in mente, questo non pone un problema di privacy? Se ogni sito che visito viene passato ad alcuni server per verificare se è malevolo / ha un certificato valido?

Sono consapevole del fatto che le CA radice SSL sono memorizzate localmente, ma la validità del certificato del sito Web non è sicura.

    
posta Jasper Weiss 07.11.2015 - 14:52
fonte

1 risposta

3

The browser sends a query to an OCSP server to verify the current validity of it's ssl/tls certificate.

Sì, con OCSP l'OCSP potrebbe capire quale sito l'utente visita. Non può capire quale URL ma può determinare il certificato al quale il browser tenta di accedere e quindi quale sito. Le richieste OCSP non vengono eseguite per ciascuna richiesta HTTPS per lo stesso sito ma la risposta viene memorizzata nella cache per un po 'di tempo. Alcuni server ricevono periodicamente la risposta OCSP dal risponditore OCSP e li inviano insieme al certificato (pinzatura OCSP). In questo caso il browser non ha bisogno di interrogare lo stesso risponditore OCSP che è una buona cosa per la privacy e anche per le prestazioni. A parte questo, il browser Chrome non utilizza più OCSP ma ha un elenco di certificati revocati. Non tutti sono d'accordo sul fatto che questo è veramente il modo migliore .

It also queries a service to check if the website is malicious ("block reported attack sites" on firefox)

Le versioni iniziali di questa funzione (Google Safebrowsing) hanno controllato ciascun sito chiedendo un server centrale, ma questo era molto tempo fa. Oggi un database locale viene aggiornato regolarmente e i controlli vengono eseguiti offline su questo database. Solo se questo controllo offline indica che il sito potrebbe essere malevolo, andrà online e lo verificherà con il server centrale. Quindi questa caratteristica non è più una grande invasione della privacy.

Tuttavia, numerosi firewall / prodotti antivirus si comportano ancora in questo modo e inviano URL sconosciuti al fornitore di firewall, il che rende quindi un altro accesso per analizzare il sito potenzialmente dannoso. Alcuni venditori arrivano addirittura a vendere questi profili a parti interessate come inserzionisti .

    
risposta data 07.11.2015 - 15:50
fonte

Leggi altre domande sui tag