Informazioni sul proprietario del certificato

1

Controlliamo questo eseguibile ...

This digital signature is OK.

Ok bene.

Name: Cocoa Nuts Unicorns Ltd

Uhm che non mi dice nulla.

Quindi, ho una firma valida e un certificato valido. Come faccio a sapere di più sul proprietario oltre al nome visualizzato? Ho provato ad andare sul sito dell'emittente senza fortuna, molti link su come acquistare un certificato ma nessuna informazione sui titolari di certificati. Questo vale anche per i certificati TLS.

    
posta Euri Pinhollow 06.02.2017 - 12:59
fonte

1 risposta

1

I certificati non dimostrano per definizione chi ci sia dietro. Se ti fidi che 'fonte' dipende interamente da te. Questo è il motivo per cui la maggior parte delle connessioni "sicure" fatte con i certificati sono per riservatezza e integrità, ma non si sa ancora con chi si sta parlando. Le CA hanno regole che dicono ai proprietari del certificato di non condividere la chiave privata, ma in pratica è molto difficile da controllare.

Puoi anche risalire la catena e dire "Non conosco Coca Nuts Unicorns Ltd, ma conosco l'autorità più in alto nella catena, Verisign per esempio". Se la verisign è ok, forse lo sei anche tu? Questa è una pendenza scivolosa, però, perché le CA ti consegneranno un certificato purché tu dia loro un po 'di soldi, alcune informazioni sull'account e un indirizzo email. Non puoi essere sicuro di chi c'è dietro quel certificato.

Esiste un concetto con certificati, convalida estesa, che ti aiuta in questo. Le basi di questo concetto sono che il proprietario doveva essere convalidato dall'autorità di certificazione.

An Extended Validation Certificate (EV) is a certificate used for HTTPS websites and software that proves the legal entity controlling the web site or software package. Obtaining an EV certificate requires verification of the requesting entity's identity by a certificate authority (CA). Web browsers show the verified legal identity prominently in their user interface, either before, or instead of, the domain name. During software installation, the verified legal identity is displayed to the user by the operating system (e.g., Microsoft Windows) before proceeding with the installation.

Vedi: link

    
risposta data 06.02.2017 - 13:11
fonte

Leggi altre domande sui tag