Quanto possiamo fidarci delle autorità di certificazione nell'emettere e proteggere i certificati?

Question

Quanto possiamo fidarci delle autorità di certificazione nell'emettere e proteggere i certificati?

#1 da (4 voti)
#2 da (1 voti)

-1

Questa è una domanda generale non correlata ad alcun sito Web o CA (Certification Authority).

Sappiamo tutti che HTTPS è un protocollo crittografato, ma che si basa sulle CA che rilasciano certificati digitali ai siti Web con il dovuto riguardo. Ora, è teoricamente possibile che una CA rilasci un certificato adeguato per un sito di hosting di malware, non è così? In altre parole, le CA sono l'anello più debole nella catena di sicurezza di HTTPS. Se ciò accade, quali sono le implicazioni?

Inoltre, sappiamo anche che i dati che navighiamo su Internet passano attraverso più hop e nodi (il tuo ISP, l'ISP del tuo sito web, cache e proxy come CloudFlare, ecc.). Supponiamo che se una qualsiasi di queste entità nel frattempo ha ottenuto il certificato CA del sito Web (chiavi pubbliche e private), può acquisire i dati trasferiti? Se sì, allora quale è una buona alternativa al sistema HTTPS attuale?

modifica

C'è un altro aspetto di preoccupazione per HTTPS, anche se potrebbe non essere correlato a nessuna CA. Al giorno d'oggi, di tanto in tanto si ottengono laptop e altri gadget che vengono preinstallati con certificati browser pericolosi che consentono di aprire un sito di phishing senza alcun riguardo (recentemente i modelli Dell e Lenovo hanno avuto tali casi, non ho alcun collegamento ma puoi Google loro). Anche in questo caso, questo può essere considerato un punto debole del sistema HTTPS.

http tls certificate-authority

posta Prahlad Yeri 02.08.2016 - 08:23

fonte

2 risposte

Leggi altre domande sui tag http tls certificate-authority

API utente di Facebook Chat [chiusa] difficile nella caccia alle taglie bug [chiuso]

score 4 · Answer 1

I'm not saying that CAs aren't doing their job well, but its theoretically possible for a CA to issue a proper certificate to a malware hosting site, is it not?

Le CA non sono responsabili per la sorveglianza del contenuto dei siti ai quali stanno emettendo i certificati. Semplicemente non fa parte della descrizione del loro lavoro. La loro responsabilità è di assicurarsi che emettano solo certificati per il legittimo proprietario di un nome di dominio e, se tale proprietario decide di ospitare malware, così sia .

Pertanto, non si deve fare affidamento sull'esistenza di HTTPS su un sito come indicatore di legittimità. Le uniche possibili eccezioni sono i siti con certificati di convalida estesi (indicati dal nome della società visualizzato nella barra degli indirizzi). Le CA devono verificare che l'organizzazione sia legalmente riconosciuta e abbia una presenza fisica prima di emettere tali certificati, quindi è molto più probabile che questi siti siano legittimi. Tuttavia, è ancora possibile per loro ospitare malware, intenzionalmente o accidentalmente.

Additionally, we also know that the data we browse on the internet passes through multiple hops and nodes (your ISP on the cloud, the website ISP, caches and proxies like CloudFlare, etc). Suppose if any of these entities in between got hold of the website CA certificate (public and private keys), can they capture the data being transferred? If yes, then what is a good alternative to the present HTTPS system?

Se la chiave privata è trapelata, in effetti sarebbe possibile per chiunque sia in possesso della chiave privata leggere i dati. Idealmente, il proprietario del sito Web manterrebbe la chiave privata sul proprio server Web in modo che non sia possibile per gli ISP o qualsiasi altra entità ottenerla. Se il proprietario del sito web decide di mantenere la chiave nelle mani di un provider di hosting, un provider di server cloud, un provider proxy, ecc., Il proprietario del sito Web implica che si fida di tali provider con accesso ai dati.

score 1 · Answer 2

possible for a CA to issue a proper certificate to a malware hosting site

HTTPS si preoccupa solo della sicurezza del trasporto. Non rilascia dichiarazioni sul server o sui dati trasferiti. OSSIA è possibile utilizzare HTTPS per trasferire malware o trasferire informazioni sensibili che vengono compromesse perché il server è stato violato.

passes through multiple hops ... got hold of the website CA certificate

Se qualcuno nel mezzo ottiene la chiave privata del certificato, si può fare un uomo perfetto e inosservabile nell'attacco centrale. Ecco perché la chiave è chiamata "privato" o "segreto".

then what is a good alternative to the present HTTPS system?

Non ci sono alternative attuali che abbiano almeno la sicurezza di HTTPS e non si basino su dati privati / segreti. Se questi dati vengono compromessi (cosa che ritieni possa essere fatta) l'uomo nel mezzo è possibile, come con il normale HTTPS.