Come parte della mia analisi forense, voglio determinare se un determinato certificato ha un indicatore di quale software PKI è stato utilizzato per crearlo.
Finora, vedo differenze nelle seguenti proprietà per un'autorità di certificazione:
- Numero di serie (formato, lunghezza, è (non) casuale)
- Valore dell'emittente (potrebbe essere allineato con il nome della foresta di Active Directory interno in MSFT)
- Presenza di "Informazioni modello certificato" (MSFT)
- Il punto di distribuzione CRL contiene un nome server
- L'oggetto contiene "DC=" (MSFT) rispetto ad altre proprietà come
O,Cpresente in Google.com
Sono sicuro che esistono differenze comparabili nei certificati di entità finale e nei certificati Dif CRL / CRL.
Domanda
-
Esiste una risorsa che indaga sulle differenze tra l'output del certificato di varie CA (o makecert.exe per quella questione)?
-
Esiste un fingerprinting a livello di byte all'interno di un certificato? (o è tutto esposto tramite un'esportazione di certificato?