Quali sono i motivi per cui i certificati TLS non vengono emessi o revocati?

0

Sono curioso di sapere quale soglia viene utilizzata per le CA per emettere / negare l'emissione / revocare i certificati TLS.

Per quanto ne so, sono essenzialmente garanzie identity , quindi se JunkCorp non può dimostrare di essere chi dice di essere, allora non otterrà un certificato. Oppure se il sito Web di JunkCorp viene violato, allora forse il loro certificato verrà revocato.

Ci sono altri aspetti che vengono presi in considerazione? (attività illegali / dannose)

    
posta Jason S 07.09.2017 - 21:00
fonte

1 risposta

1

Mentre ogni CA ha le proprie politiche e procedure che seguono in merito a quando emettere e revocare i certificati, è un insieme comune di Baseline Requirements che tutte le Autorità di certificazione pubblicamente accreditate sono obbligate (dai venditori di browser) a seguire.

I requisiti di base specificano il seguente elenco di condizioni in base al quale una deve deve revocare un certificato:

4.9.1.1. Reasons for Revoking a Subscriber Certificate

The CA SHALL revoke a Certificate within 24 hours if one or more of the following occurs:

  1. The Subscriber requests in writing that the CA revoke the Certificate;
  2. The Subscriber notifies the CA that the original certificate request was not authorized and does not retroactively grant authorization;
  3. The CA obtains evidence that the Subscriber’s Private Key corresponding to the Public Key in the Certificate suffered a Key Compromise or no longer complies with the requirements of Sections 6.1.5 and 6.1.6;
  4. The CA obtains evidence that the Certificate was misused;
  5. The CA is made aware that a Subscriber has violated one or more of its material obligations under the Subscriber Agreement or Terms of Use;
  6. The CA is made aware of any circumstance indicating that use of a Fully-Qualified Domain Name or IP address in the Certificate is no longer legally permitted (e.g. a court or arbitrator has revoked a Domain Name Registrant’s right to use the Domain Name, a relevant licensing or services agreement between the Domain Name Registrant and the Applicant has terminated, or the Domain Name Registrant has failed to renew the Domain Name);
  7. The CA is made aware that a Wildcard Certificate has been used to authenticate a fraudulently misleading subordinate Fully-Qualified Domain Name;
  8. The CA is made aware of a material change in the information contained in the Certificate;
  9. The CA is made aware that the Certificate was not issued in accordance with these Requirements or the CA’s Certificate Policy or Certification Practice Statement;
  10. The CA determines that any of the information appearing in the Certificate is inaccurate or misleading;
  11. The CA ceases operations for any reason and has not made arrangements for another CA to provide revocation support for the Certificate;
  12. The CA’s right to issue Certificates under these Requirements expires or is revoked or terminated, unless the CA has made arrangements to continue maintaining the CRL/OCSP Repository;
  13. The CA is made aware of a possible compromise of the Private Key of the Subordinate CA used for issuing the Certificate;
  14. Revocation is required by the CA’s Certificate Policy and/or Certification Practice Statement; or
  15. The technical content or format of the Certificate presents an unacceptable risk to Application Software Suppliers or Relying Parties (e.g. the CA/Browser Forum might determine that a deprecated cryptographic/signature algorithm or key size presents an unacceptable risk and that such Certificates should be revoked and replaced by CAs within a given period of time).

Fonte: Versione 1.4.9 della linea base CAB requisiti .

Tieni presente che questi requisiti dicono solo quando un CA deve revocare un certificato. Non impediscono alle CA di revocare i certificati per motivi non presenti in questo elenco. Le singole CA possono avere le proprie politiche che specificano altre condizioni in base alle quali possono revocare un certificato.

Per quanto riguarda il momento in cui una CA si rifiuterà di rilasciare un certificato, la risposta a questa domanda sarà molto più complicata. Il motivo principale per cui una CA dovrebbe rifiutarsi di emettere un certificato sarebbe quando la persona o l'organizzazione che richiede il certificato non può dimostrare di essere chi dice di essere. I dettagli di quale tipo di prova dell'identità sono richiesti e altre condizioni in base alle quali una CA deve rifiutarsi di emettere un certificato sono, ancora una volta, specificate nei Requisiti di base.

Per quanto ne sappia, i Requisiti di base non richiedono alle CA di monitorare se le persone o le organizzazioni che stanno emettendo certificati lo stanno utilizzando per attività illegali. Le forze dell'ordine non rientrano nell'ambito delle responsabilità di una CA.

    
risposta data 07.09.2017 - 22:02
fonte

Leggi altre domande sui tag