Sicurezza dei certificati SSL acquistati tramite i rivenditori

1

Esistono molti rivenditori di certificati SSL: alcuni sono aziende note con una buona reputazione (ad esempio registrar di nomi di dominio), mentre altri sono aziende piccole e sconosciute.

È chiaro che i rivenditori non hanno accesso alle chiavi private dei certificati acquistati tramite loro (a meno che la chiave privata sia data o prelevata dal rivenditore, CSR non non contenga la chiave privata).

Ma la parte difficile sono le procedure di convalida eseguite sulla riemissione (rilascio di un certificato simile con chiave privata diversa, durante il periodo di validità del certificato).

  1. La mia esperienza mostra che almeno in alcune combinazioni di rivenditori-CA i vecchi certificati non vengono automaticamente revocati / revocati immediatamente al momento della riemissione. Ciò porta a situazioni in cui diversi certificati (con diverse chiavi private) per lo stesso nome di dominio sono validi durante lo stesso periodo di validità, acquistati tramite lo stesso acquisto di certificati. Esistono anche alcuni casi di utilizzo legittimi (ad esempio se più server che servono lo stesso sito sono protetti con lo stesso "certificato" e ogni server ha la propria chiave privata). Ci sono CA che revocano automaticamente i vecchi certificati durante la riemissione?
  2. La mia esperienza mostra che almeno in alcune combinazioni di rivenditori-CA (almeno livello di dominio) la ri-validazione viene sempre eseguita durante la riemissione. Esistono norme per le CA che applicano la ri-validazione su ogni riemissione? Esiste il rischio che un rivenditore malintenzionato possa ingannare la CA e richiedere la riemissione del certificato senza la procedura di convalida (ad esempio, il rivenditore può generare il proprio CSR, consegnarlo a CA / RA e farlo firmare, sostenendo che il suo cliente sta rilasciando)? Se sì, ci sono CA le cui politiche richiedono una nuova convalida ad ogni riemissione?

Fondamentalmente la domanda è: è sicuro acquistare certificati SSL da rivenditori economici (e sconosciuti)? Oppure possono abusare del processo di riemissione (ingannando CA / RA per rilasciare certificati fraudolenti)?

    
posta DavisNT 25.12.2014 - 01:04
fonte

2 risposte

3

Non è meno sicuro di andare direttamente attraverso una CA. Le CA possono essere compromesse come chiunque altro. Anche se la CA richiedesse la riconvalida, il rivenditore potrebbe semplicemente dichiarare di averlo fatto.

    
risposta data 29.12.2014 - 17:19
fonte
2

In genere è sicuro acquistare certificati tramite i rivenditori, poiché è possibile acquistare direttamente dalla CA attraverso la quale il rivenditore è operativo. Alla fine, la relazione è definita dalla CA e il rivenditore opera entro i limiti definiti da tale CA; se esistono delle insicurezze dovute a questa relazione, è responsabilità dell'AC rimediarle.

    
risposta data 28.12.2014 - 02:40
fonte

Leggi altre domande sui tag