¿Cómo configurar el navegador para detectar certificados revocados?

5

En el contexto del error Heartbleed, me gustaría asegurarme de que puedo detectar si alguien intenta realizar un ataque MITM con un certificado robado, que desde entonces ha sido revocado. El problema es que el navegador solo falla por falla suave o no verifica la CRL en absoluto porque la falla por software es inútil . Firefox le permite a uno hacer la respuesta de OCSP obligatoria pero tiene desventajas significativas. ¿Cuáles son los ajustes / complementos recomendados para detectar certificados revocados desde que se anunció Heartbleed? Específicamente me gustaría

  • Haga que el OCSP sea obligatorio para los certificados emitidos antes del 04/07. Tal vez con un respaldo a algo como Perspectivas . ¿Existe alguna extensión de este tipo / está en desarrollo?
  • Tener el registro CRL de un certificado almacenado en caché de mi visita anterior a un sitio. Eso no ayuda contra el ataque de MTM en mi primera visita, pero notaría un MITM con un certificado revocado en cualquier visita posterior.

¿Alguna otra recomendación de configuración de extensiones para resolver este problema? Estoy feliz de cambiar el navegador para resolver el problema, por lo que la recomendación para cualquier navegador es bienvenida.

    
pregunta Roland Schulz 10.04.2014 - 22:36
fuente

2 respuestas

4

La única solución que pude encontrar es usar Firefox o Internet Explorer, y habilitar hard-fail.

Para Firefox:

  • Ir a Opciones - > Avanzado - > Certificados- > Validación
  • Marque la casilla "Cuando falla la conexión con un servidor OCSP, trate el certificado como no válido"

Para Internet Explorer:

  • Solo se puede habilitar en el registro usando FEATURE_WARN_ON_SEC_CERT_REV_FAILED. La publicación del blog con el archivo reg es aquí .

Para Chrome:

Para Opera:

  • No lo sé.

Observe que hard-fail tiene desventajas . Así que no lo habilite para amigos / familias que se confundirían con los posibles falsos positivos.

    
respondido por el Roland Schulz 22.04.2014 - 10:02
fuente
0

Tras el establecimiento de SSL en el servidor remoto, se recupera la cadena de certificados para garantizar la confianza del host, si se revoca cualquier certificado de la cadena, se romperá la cadena y recibirá un error de certificado (sitio no confiable) entrando.

Esta es la razón por la que usamos CA raíz externas como Godaddy y similares, para confirmar la identidad del servidor remoto.

Si el caso es para una PKI interna, esto podría ser diferente, corríjame si me equivoco.

    
respondido por el Neophyte 10.04.2014 - 22:44
fuente

Lea otras preguntas en las etiquetas