È sicuro distribuire le liste di revoca dei certificati su HTTP? [duplicare]

1

Sto ancora cercando di capire la funzionalità di un'autorità di certificazione, quindi se questo è ovvio, mi scuso.

Capisco che i CRL svolgano un ruolo quando la CA vuole invalidare un determinato certificato SSL. In ogni certificato SSL che ho controllato, sia gli URL OCSP sia quelli CRL vengono pubblicati in formato HTTP semplice. C'è qualche ragione particolare per distribuirli su HTTP?

Le probabilità che qualcuno rubi una chiave privata del server e lo spoofing della connessione dei client ai server della CA sono piuttosto scarse, ma mi chiedo se non c'è alcuna accessibilità o ragioni tecniche.

Come sempre, grazie per la tua attenzione e il tuo tempo

    
posta Ayesh K 03.07.2016 - 02:24
fonte

1 risposta

4

HTTPS (o qualsiasi altro client TLS) devono conoscere lo stato di revoca del certificato prima di poter fidarsi della connessione TLS. Se la connessione HTTPS utilizzata per recuperare il CRL non è affidabile, allora qual è il punto? Per non parlare, la tua connessione HTTPS originale attiva una ricerca CRL, che a sua volta attiva un'altra connessione HTTPS per il server CRL, che a sua volta ... ottieni il punto, finiamo con un ciclo infinito di risorse costose, non regolabili e quindi connessioni inutili.

Fortunatamente i CRL sono firmati da soli, quindi il mezzo di trasmissione non ha importanza, deve al contrario essere il più leggero possibile, in modo da escludere HTTPS (o qualsiasi altro protocollo crittografico).

    
risposta data 03.07.2016 - 02:50
fonte