¿Es responsabilidad de una autoridad certificadora garantizar que un SSL no se utilice con fines infames?

4

Leí esto en las noticias recientemente

  

Let's Encrypt ha emitido 15,000 certificados SSL a phishing de PayPal   sitios (los expertos en seguridad piden a la empresa que rechace los certificados de   dominios que contienen nombres de marcas populares)

enlace

Soy consciente de que HTTPS no indica necesariamente un sitio en el que pueda confiar, solo que la conexión es segura. Sin embargo, ¿tiene el emisor una responsabilidad legal o moral para vigilar la forma en que se utilizan los certificados?

¿Es responsabilidad de una autoridad certificadora garantizar que un SSL no se utilice con fines infames?

    
pregunta Goose 28.03.2017 - 20:03
fuente

2 respuestas

4

No .

Una CA tiene la responsabilidad de verificar que la persona que solicita un certificado para un dominio sea el propietario del dominio en cuestión. No corresponde a la AC realizar la censura de los nombres de dominio, ni vigilar lo que las personas hacen con un certificado una vez que lo tienen.

Ahora, su preocupación ya se encuentra un poco atendida por los niveles más altos de certificados SSL, pero depende de la corporación que solicita el certificado gastar el tiempo y el dinero adicionales para obtenerlo.

Hay efectivamente dos niveles de certificados que puede comprar: Validación de dominio (DV) y Validación extendida (EV). Los certificados DV están diseñados para tener una emisión automatizada y son el tipo de certificado que emitimos Let's Encrypt. Los certificados de EV tienen niveles mucho más altos de verificación antes de la emisión, y requieren llamadas telefónicas, papeleo, etc.

wikipedia / Extended_Validation_Certificate :

  

Criterios de emisión

     

Solo las CA que aprueban una revisión de auditoría calificada independiente pueden ofrecer EV, [5] y todas las CA deben seguir los mismos requisitos detallados de emisión que apuntan a:

     
  • Establezca la identidad legal, así como la presencia operativa y física del propietario del sitio web.

  •   
  • Establezca que el solicitante es el propietario del nombre de dominio o tiene control exclusivo sobre el nombre de dominio.

  •   
  • Confirme la identidad y la autoridad de las personas que actúan para el propietario del sitio web, y que los documentos relativos a obligaciones legales están firmados por un oficial autorizado.

  •   

Tenga en cuenta que para los certificados EV, la entidad legal que solicita el certificado debe ser una corporación, no un individuo, y el nombre de la corporación está incluido en el certificado y aparece en la barra de estado de su navegador.

ej: certificado no EV:

ej:EVcert:

¿ObservecómoapareceelnombrelegaldePayPalenlabarradedirecciones?Esoescasiimposibledefalsificar,yestamoselevandoelnivelparalosspammers:laúnicamaneradeobtener"PeyPal, inc" sería incorporar realmente una empresa, lo que las organizaciones delictivas normalmente no quieren hacer. Entonces, una vez que los usuarios se acostumbren a buscar esto en sitios web de renombre, este problema se resolverá por sí solo. Desafortunadamente, debido a la cantidad de verificación manual involucrada, los certificados de EV son costosos (cientos de $ USD por año), y las CA como Let's Encrypt o Godaddy nunca los ofrecerán.

En términos generales, una CA es como la oficina de pasaportes o la oficina que emite las licencias de conducir; tienen la responsabilidad de garantizar que A) usted es quien dice ser y B) que ha cumplido con los requisitos (es decir, usted es un ciudadano / ha superado sus exámenes de manejo). No tienen la responsabilidad de rastrear lo que está haciendo con esa identificación, ni es legal que revocen su pasaporte / licencia de conducir, incluso si los usa para fines ilegales.

Comentario de direccionamiento:

  

¿Hay un historial de emisores de certificados que revocan certificados debido a un uso infame, aunque no tienen la responsabilidad legal de hacerlo?

No, definitivamente no. Una CA se cerraría si lo hicieran.

Piénselo de esta manera: las Autoridades de Certificación deben ser una tercera parte completamente neutral y de confianza global. Si tienen el poder de emitir juicios sobre lo que cuenta como "nefasto" y revocar los certificados basados en eso, entonces no serían neutrales y serían de confianza global, ¿o sí?

Podría pensar que el navegador podría reunirse y crear un conjunto estricto de reglas para lo que cuenta como "nefasto", de modo que las AC solo apliquen las reglas. ¿Pero qué lograría eso realmente? Los phishers y los estafadores son muy buenos para deslizarse a través de las reglas. Probablemente gastaríamos más tiempo y esfuerzo discutiendo sobre las reglas que la cantidad de beneficios que obtendríamos de ellas.

    
respondido por el Mike Ounsworth 28.03.2017 - 20:05
fuente
3
  

¿Tiene el emisor una responsabilidad legal o moral para vigilar la forma en que se utilizan los certificados?

Tipo de. Si bien es posible que no sean responsables del uso real de los certificados después de su emisión, los emisores tienen sus propias políticas con respecto al manejo de posibles certificados fraudulentos.

Estas políticas los vinculan legalmente en cierta medida, aunque se podría argumentar si el propósito de las estipulaciones es justificar la negativa a emitir un certificado (las cuestiones legales están fuera del alcance de Security.SE).

Política de Let's Encrypt "3.2.4.3 Verificación contra solicitudes de certificados de alto riesgo" en "Declaración de práctica de certificación ISRG" (v1.4, 5 de mayo de 2016) declara:

  

Para evitar posibles phishing, uso fraudulento y tomar precauciones adicionales contra posibles compromisos,   La CA mantiene una lista de solicitudes de alto riesgo anteriores y verifica una lista de autoridades de terceros especificando las actuales   Nombres de dominio de alto riesgo. Los servidores utilizan esta lista para identificar los riesgos potenciales. En caso de una solicitud con   cualquier riesgo potencial que suponga para la CA o un Nombre de dominio que figura en la lista de autoridades de terceros, será   marcados y señalados a la atención de la gerencia para completar una verificación interna adicional. Para prevenir   Emisión de alto riesgo de un certificado DV-SSL, esta verificación interna requerirá uno o más de los siguientes   pruebas:

     
  • Solicite documentación adicional que confirme el control del dominio al solicitante;
  •   
  • Examen cuidadoso del FQDN para confirmar si la intención del Registrador de Dominio o   El solicitante debe imitar o engañar a los clientes de un FQDN en la lista de autoridad de terceros de alto riesgo   para cometer actividades fraudulentas o de suplantación de identidad (por ejemplo, www.g00gle.com, www.1dentrust.com,   etc.) y los filtros específicos que se establecen a nivel del sistema para denegar las solicitudes iniciales (por ejemplo,   caracteres ASCII no estadounidenses);
  •   
  • Revisión manual de toda la información proporcionada en el formulario de solicitud en línea; y / o
  •   
  • Otra prueba verificable según lo juzgue necesario la gerencia de la CA.
  •   

Definitivamente, las CA pueden rechazar la emisión de un certificado: siguen funcionando como empresas y no puede obligar a una empresa a que le brinde un servicio determinado, porque así lo desea (aparte de los derechos del consumidor).

Sin embargo, revocar es un problema diferente.

    
respondido por el techraf 29.03.2017 - 02:17
fuente

Lea otras preguntas en las etiquetas