La verifica CN / Nome host rispetto al certificato SSL richiesta per il software non browser che utilizza openssl e perché?

1

In presenza di "certificati di fiducia" & altri attributi .. quanto è importante questo?

OpenSSL lo implementa ora & Se no, perché OpenSSL non implementa?

Questo è tra client non browser e amp; server.

    
posta user49149 23.06.2014 - 14:27
fonte

3 risposte

4

Quando ti connetti a un server e il server restituisce un certificato valido, allora "conosci" (soggetto ai capricci di PKI) che hai collegato a un server "valido", la cui identità è contenuta nel certificato. Tuttavia, esiste più di un server SSL su questo pianeta. Devi ancora decidere se il server che hai contattato è quello che hai voluto con cui parlare. Questo è ciò che significa il controllo del nome.

Questa è la distinzione tra autenticazione (verifica di chi stai parlando) e autorizzazione (decidere se con chi stai parlando è effettivamente con chi dovresti parlare) . Hai bisogno di entrambi. Se rimuovi il controllo del nome , devi implementare qualche altro meccanismo che permetta al tuo cliente di distinguere tra il vero server e qualche altro server con un altro nome.

    
risposta data 23.06.2014 - 15:39
fonte
2

È ancora altrettanto importante. Anche se sono Mr.BadHacker, posso ottenere un certificato di fiducia che dice che sono Mr.BadHacker. Se stai cercando di connetterti al tuo ufficio tramite SSH e accetti una connessione sicura a Mr.BadHacker come se fosse il tuo ufficio, allora avrai dei problemi.

La fiducia non significa che il sito è buono, significa semplicemente che sono chi dicono di essere. È completamente privo di significato senza nemmeno controllare chi affermano di essere.

    
risposta data 23.06.2014 - 15:15
fonte
1

Le altre risposte hanno già detto perché è importante verificare l'identità (nome host).

Per quanto riguarda il come con openssl: le versioni correnti (1.0.1) non hanno i controlli necessari così la maggior parte degli utenti di codice openssl (e spesso sbagliati) o omettono il controllo (anche peggio).

Nella base di codice prevista per la versione 1.1 c'è una funzione x509_check_host che dovrebbe essere migliore di nessun controllo, ma anche la sua implementazione è sbagliata (vedere il ticket OpenSSL n. 3288).

    
risposta data 23.06.2014 - 17:06
fonte

Leggi altre domande sui tag