¿Qué tan poderosos son los principales ejecutivos de Verisign?

4

Creo que VeriSign ha emitido una gran parte de los certificados SSL del mundo. Muchas corporaciones y gobiernos los utilizan. ¿Es posible que una persona que tiene acceso a las claves privadas de Verisign pueda colarse un par y comenzar muchos ataques indetectables de hombre en el medio? ¿No es demasiado poder para que una sola persona (potencialmente) tenga acceso a la gran parte de la información secreta de los mundos?

Soy nuevo en el campo de la seguridad, perdóneme si esta pregunta es tonta.

    
pregunta Oleg M 01.03.2013 - 01:17
fuente

1 respuesta

7

Se supone que Big CA implementa controles exhaustivos para evitar o al menos detectar certificados emitidos incorrectamente. Los procedimientos aplicados por Verisign se describen en su declaración de práctica de certificación . Consulte en particular sus "controles de procedimiento" y "controles de personal", páginas 28 a 31 (a partir de la versión 3.8.4 del documento, publicado el 1 de marzo de 2011): algunas tareas requieren la colaboración de varios empleados que se verifican entre sí, hay Verificación de antecedentes (estado penal, deuda ...), se producen y auditan muchos registros ... En gran medida, estos procedimientos son bastante similares a los procedimientos para lanzar un ataque nuclear y, francamente, creo que una unos cientos de ojivas nucleares son un poco más preocupantes que un par de certificados falsos.

    
respondido por el Thomas Pornin 01.03.2013 - 01:26
fuente

Lea otras preguntas en las etiquetas