Autorità di certificazione: cronologia e registrazione

3

Le CA sono una parte fondamentale dell'infrastruttura di internet di cui poche persone sono a conoscenza. L'SSL è stato per lo più hackerato insieme a Netscape nel 1995. Mi piacerebbe capire di più sulla struttura organizzativa di CA e sulla storia. Come sono nate le attuali CA? Quale organizzazione decide chi può diventare una CA?

Secondo wikipedia questi sono alcuni CA notevoli. Per quanto ne so ce ne sono diverse centinaia.

Symantec 38.1% market share
Comodo Group  29.1%
Go Daddy  13.4%
GlobalSign  10%

Vedi anche questa mappa di CA: link

    
posta RParadox 04.03.2014 - 17:20
fonte

2 risposte

2

Quando si fa riferimento alle CA si sta parlando di CA che emettono certificati SSL pubblici.

Non esiste un'organizzazione globale responsabile della gestione dell'emissione di certificati SSL. È compito degli sviluppatori di applicazioni decidere chi si fidano e quanto è alto impostare questa barra. L'elenco dei certificati di radice affidabili in IE e Firefox presenta notevoli differenze.

Alla fine degli anni '90 ho lavorato per First Data Corporation, che ha dedicato molto tempo e sforzi per farsi aggiungere alle CA di Internet Explorer, anche se, a mia conoscenza, non hanno mai rilasciato certificati a terze parti. Costava molte centinaia di migliaia di dollari per passare attraverso il processo di certificazione formale e richiedeva che avessero una suite di documenti di politica PKI formale (che coprono il ciclo di vita dei certificati).

Questo criterio era coperto da RFC 2527 (in seguito sostituito da RFC 3647) anche se non ricordo se Microsoft richiedesse la conformità con quella RFC in quel momento.

Più in generale ci sono molte CA che rilasciano certificati per altri scopi. So che Skype era uno dei più grandi fornitori di PKI - PKI è stato utilizzato per identificare gli utenti, anche se non sono sicuro che sia ancora così. Parecchie carte d'identità nazionali in Europa includono certificati digitali PKI che vengono utilizzati per abilitare l'accesso C2G e B2G tramite lettori di smart card.

    
risposta data 10.10.2014 - 01:09
fonte
0

Qualsiasi persona può scegliere di essere una CA. A Pediatric Heart Center, abbiamo deciso di essere la nostra CA, quindi manteniamo un certificato di root e una chiave privata, e per ogni certificato che firmiamo, aggiorniamo un database con il numero di serie del nuovo certificato e altri dettagli vitali sul certificato quello era firmato. Siamo quindi in grado di fornire questi certificati ai dipendenti per comunicazioni sicure e, poiché tutti i nostri sistemi riconoscono e si fidano della root autofirmata, tutti i certificati secondari che creiamo vengono automaticamente accettati dai sistemi dei nostri dipendenti.

Dove la rete di fiducia diventa un po 'più pelosa è per quei membri del pubblico in generale che devono scegliere di riconoscere il nostro certificato di base e quindi decidere quanta fiducia ci vuole fornire. Per i nostri clienti, siamo in grado di dare loro un po 'di educazione su ciò che possono aspettarsi e su come procedere fornendo "Trust" al nostro certificato radice sui loro vari sistemi.

Ogni browser Web viene fornito con una serie di certificati radice già installati e "pre-attendibili". Queste autorità di certificazione sono state ben stabilite e non sono più messe in discussione dal pubblico in generale.

Se stai cercando di essere tra questi certificati radice, che sono preinstallati e pre-attendibili, la soluzione migliore è contattare i produttori del browser e, se possibile, avere le credenziali e il certificato CA root autorizzati da uno standard Internet centrale bordo.

Mr. Deters ha suggerito che ICANN era un buon punto di partenza con il suo commento un po 'sarcastico sul post originale. Questo potrebbe davvero essere un buon punto di partenza. Siate pronti a fornire documentazione sulle pratiche di firma ed essere aperti a ispezioni casuali, poiché sono entrambi richiesti da tutte le autorità di certificazione, anche da autorità di certificazione private come la nostra a PHC.

    
risposta data 09.10.2014 - 21:19
fonte

Leggi altre domande sui tag