¿Qué sucede cuando un certificado SSL emitido por CA para Y años pero el dominio caduca antes de eso y es comprado por otra persona?

4

Estoy tratando de entender la parte de seguridad en SSL.

Digamos que tengo un dominio llamado xyz.com y pude verificarlo correctamente con CA. Pero el dominio expira dentro de 1 año.

Sin embargo, pude obtener un SSL válido durante 3 años.

Solté el dominio xyz.com pero, después de algún tiempo, ese dominio fue puesto en espera por otra persona.

Ahora todavía puedo usar mi xyz.com SSL vigente y engañar al usuario para que esté en xyz.com aunque no tenga acceso a ese dominio.

¿Es posible tal cosa? Si tales cosas suceden, CA estará en problemas, ¿no? ¿Cómo evita la CA tales cosas?

    
pregunta user1091558 02.09.2017 - 19:08
fuente

1 respuesta

5

Sí, el escenario que está describiendo es una especie de laguna en el sistema de CA. Es obligación del cliente (el propietario del certificado) informar a la CA que la propiedad del dominio ha finalizado. La CA (generalmente) no realiza ninguna verificación activa después de que se haya producido la emisión.

Se han tomado medidas para mitigar este problema, difícil:

  1. Los Requisitos de referencia del CA / Browser Forum no permita certificados válidos por más de 825 días a partir del próximo año, por lo que el tiempo en el que podría realizar ataques con su certificado será más corto
  2. La transparencia del certificado, que también se requerirá de todos los certificados el próximo año, permitirá al nuevo propietario del dominio verificar fácilmente si su certificado sigue siendo válido.
respondido por el mat 02.09.2017 - 19:44
fuente

Lea otras preguntas en las etiquetas