Esiste un processo di verifica standard da seguire per le autorità di certificazione?

1

Quindi la premessa della domanda è quantificare il rischio di certificati jolly rispetto ai certificati regolari. Dalla mia ricerca il più grande pericolo fondamentale dei certificati di carte selvagge è la possibilità di compromettere un sistema debole, ottenere le chiavi private quindi è possibile mascherarsi come qualsiasi sistema. Affinché questo funzioni, devi compromettere un sistema e compromettere il server DNS pubblico (supponendo che si tratti di un attacco basato su Internet) e farlo prima che il certificato sia revocato.

Mi è venuto in mente che se i requisiti delle autorità di certificazione per la verifica delle modifiche di validità delle società, laddove alcuni sono più facili da ingegnere sociale, altri potrebbero scartare il rischio di certificati Wildcard. Cioè, potrebbe essere più facile per qualcuno ingegnere sociale di una CA, quindi è per irrompere in un sistema e rubare le chiavi private. Inoltre i Certs nominati possono promuovere un falso senso di sicurezza in quanto potrebbero essere imitati da un'altra autorità fidata. Questo crea anche un altro problema in cui la revoca dei certificati è fuori dalla portata dell'azienda, in cui un jolly potrebbe utilizzarlo.

Quello che non sono stato in grado di trovare è uno standard che le autorità di root devono seguire durante la verifica dei domini dei client. C'è uno standard che devono seguire? In caso contrario, qualcuno conosce un elenco o un sito dei diversi requisiti di verifica di ciascuna CA?

Grazie

    
posta Brett Littrell 26.01.2015 - 19:05
fonte

2 risposte

5

Questo documento può darti una panoramica storica di come si è evoluta la standardizzazione per le CA.

EDIT:

Un frammento del documento che offre una buona panoramica:

The first requirement imposed specifically on CAs as a group was in 2000 when an annual security audit under the WebTrust for CAs standards was mandated by browsers and others with trusted root stores. See the original WebTrust audit standards available at http://www.webtrust.org/homepage-documents/item27839.aspx. These standards have been updated from time to time, so the current WebTrust audit standards are reflected in the detailed v.2.0 requirements found at the same link. Even before the first WebTrust for CAs standards in 2000, most CAs also underwent annual performance audits under SAS 70 standards (later replaced by SSAE 16 / SOC 2 / SOC 3) – and many still do in addition to WebTrust. Nearly all CAs in North America follow the WebTrust standards, but CAs in other parts of the world may be audited to the equivalent ETSI (European Telecommunications Standards Institute) audit standards – see www.etsi.org. Government CAs must submit equivalent government performance audits on a periodic basis as well.

    
risposta data 26.01.2015 - 19:24
fonte
1

Direi che i certificati con caratteri jolly non rappresentano un pericolo maggiore di un normale certificato a dominio singolo, a condizione che la CA verifichi realmente che l'argomento in questione sia proprietario dell'intero SLD e non emetta mai certificati per qualsiasi dominio di terzo livello se il soggetto non può dimostrare la proprietà dell'intero dominio di secondo livello (SLD).

Ad esempio, un certificato con caratteri jolly può presentare un rischio per la sicurezza, se una CA verifica un cliente su customer123.freewebhost.com e successivamente emette un certificato con caratteri jolly per * .freewebhost.com, perché il cliente sarà quindi in grado di impersonare altri clienti sullo stesso host web e possibilità MITM loro.

Dal momento che i prerequisiti per ottenere un certificato in realtà è che DEVI possedere il SLD, ad eccezione di alcuni domini di terzo livello come .co.uk che viene gestito come un TLD che è ".co.uk", il jolly i certificati non presentano più un rischio per la sicurezza di un normale certificato. Alcune CA automatizzate solo su domini vietano persino .co.uk e completamente perché i loro processi automatizzati non possono differenziare qualcuno che rivendica il possesso di qualcosa.tld o rivendicare il proprio diritto a co.uk.

Il rischio per la sicurezza risiede piuttosto in CA che i problemi intermodono i certificati CA e non eseguono una verifica adeguata. Poiché un certificato CA intermedio può essere utilizzato per impersonare qualsiasi sito, è necessario rilasciare un certificato CA intermedio solo su rigidi prerequisiti "necessari", ad esempio non emettere mai certificati CA intermedi per chiunque non debba rivendere i certificati ai clienti.

    
risposta data 26.01.2015 - 22:19
fonte

Leggi altre domande sui tag