WoSign è stato nei media per offrire certificati gratuiti per server e client . Poiché uno dei miei (gratuiti) certificati S / MIME di un'altra CA sta per scadere poco dopo un anno e WoSign offre certificati, validi per te anni, ho richiesto il loro certificato, perché speravo di poter saltare -creazione di nuovi certificati nei prossimi anni.
Durante il processo mi sono chiesto, perché non c'era alcuna indicazione dal mio browser, che stava creando una coppia di chiavi, come sono abituato dalle mie ultime applicazioni a CA diverse. Al termine del processo, è stato offerto un file PFX per il download. Non è necessario esportare il certificato dalla memoria del certificato del browser.
Secondo la loro politica (nel capitolo 3.2.1), essi offrire di generare una chiave privata per i propri abbonati. Capisco, questo dovrebbe essere evitato, perché nessuno, tranne il proprietario, dovrebbe mai essere in possesso di una chiave privata. Mentre dichiarano, che gli abbonati possono anche scegliere di creare proprie chiavi private e CSR per i certificati server, non fanno alcuna dichiarazione sulla creazione della chiave privata per il certificato client in un altro modo.
La mia ipotesi è corretta, che le chiavi private utilizzate per i loro certificati client siano realmente create sul lato server, ed è corretto, che (mentre dichiarano che non lo fanno) potrebbero tenerlo e usarlo per decifrare / firmare messaggi, esattamente come gli abbonati potrebbero fare con il loro certificato? Questo dovrebbe essere totalmente inaccettabile, perché ci si dovrebbe fidare di loro, che cancellano la chiave privata, che non avrebbero nemmeno dovuto avere in primo luogo. Ma dal momento che non sono riuscito a trovare alcuna critica su un problema del genere con il processo di rilascio del certificato del cliente, avrei potuto ottenere qualcosa di sbagliato.