Dove posso trovare tutti i certificati CA SSL

3

Sto lavorando su un progetto di implementazione SSL e naturalmente ho bisogno di verificare il certificato presentato dal server. Per farlo ho bisogno di certificati CA o almeno certificati CA radice (correggimi, ho torto) ma non riesco a trovare alcuna fonte che possa darmi il database dei certificati. Dove posso trovare tutti questi certificati, preferibilmente da un'unica fonte? So che posso ottenere certificati da tutte le CA separatamente, ma non mi sento a mio agio con questo metodo in quanto renderebbe l'aggiornamento un pasticcio. La cosa più vicina che ho trovato è stato questo file da mozilla link . È questa la fonte giusta per il database dei certificati e, in caso affermativo, con quale frequenza vengono aggiornati.

    
posta binW 25.09.2013 - 18:36
fonte

3 risposte

1

Sembra che non ci sia un'unica fonte per ottenere tutte le chiavi. Ma guardando le tue esigenze, a partire da un database dei certificati credibile del browser potrebbe essere un buon modo per avvicinarsi. Il link che hai citato sembra essere una buona fonte. Questo script perl può scaricare i certificati dal sito e convertirli da txt a formato PEM.

    
risposta data 25.09.2013 - 19:11
fonte
0

Questa non è una buona idea. La raccolta di tutte le chiavi pubbliche di CA da una singola fonte solleva alcuni problemi.

  1. Non vuoi necessariamente fidarti di tutte le CA. Se ti fidi della chiave pubblica di tutte le CA, chiunque firmi qualcosa tramite una "CA" sembrerebbe valido. Potrei firmare un certificato affermando che il mio server web era effettivamente Gmail, per esempio.

  2. Ottenere la chiave pubblica di tutte le CA da una terza parte consentirebbe a quella terza parte di cambiare le chiavi pubbliche e quindi firmare i certificati utilizzando il nome di una politica effettivamente affidabile. Cose come questa esistono per le chiavi pubbliche personali (e-mail, ecc.) Perché devi verificare la chiave con la persona con cui stai comunicando. Non sono a conoscenza del fatto che questa infrastruttura esista, ma anche se fosse ancora necessario verificare le chiavi con ogni singola CA, che è esattamente ciò che affermi di non voler fare.

risposta data 25.09.2013 - 18:47
fonte
0

L'elenco dei certificati radice CA che l'implementazione TLS accetta è fondamentale per la sicurezza degli utenti dell'implementazione. Tutto ciò che serve è un cattivo attore o front-per-NSA in quella lista per abilitare il compromesso di tutte le connessioni dei tuoi utenti.

Sebbene l'elenco di mozilla sia un punto di partenza, la cosa migliore che potresti fare per i tuoi utenti sarebbe quella di controllare tutte le CA i cui certificati di root sono accettati dalla tua implementazione.

    
risposta data 25.09.2013 - 19:02
fonte

Leggi altre domande sui tag