Estoy intentando entender Transparencia del certificado .
Digamos que quiero husmear en el correo electrónico de alguien. Así que voy a piratear o sobornar a una CA, hacer que emitan un certificado para google.com , y luego lo presento cuando mitigo la conexión de los usuarios a Gmail. Esta es la situación que CT está intentando detectar y permite que Google descubra el certificado falso.
Con la Transparencia del certificado, el navegador de los usuarios requerirá que adjunte una marca de tiempo del certificado firmado (SCT) para comprobar que el certificado se ha agregado a un registro.
- Primero, ¿qué me impide configurar mi propio registro, crear el SCT, y nunca contarle a Google ni a nadie más?
- ¿Puede el navegador saber si un registro es legítimo?
- ¿El navegador o su componente Auditor envían el SCT a los monitores?
Alternativamente, podría hackear / sobornar a un operador de registro para emitir un SCT con los hashes de árbol juntos con todos los certificados anteriores. Luego, cuando Google y otros consultan el registro para su cadena de certificados, podría fingir que la SCT incorrecta nunca existió. Esto sería un tenedor en el registro. Una vez más, Google solo averiguará si el navegador (Auditor) envía el SCT a Google u otros Monitores.
El sitio web de CT menciona que "los auditores y monitores intercambian información sobre registros a través de un protocolo de chismes" , pero nunca entra en detalles sobre cómo o cuándo.
- Específicamente, ¿cómo sabe el navegador (auditor) con qué monitores hablar?