¿Qué hace exactamente la transparencia del certificado?

Navega tus respuestas
4

Tengo grandes problemas para entender en qué se diferencia la transparencia del certificado del mecanismo como CRL u OCSP, que permite obtener el estado de un certificado contactando directamente con la AC.

  • Qué nombres de dominios se contactan cuando una aplicación quiere verificar el certificado de un servidor específico. ¿Qué se envía a esos dominios? (solo sé que se trata de registros)
  • Como no se envía ninguna solicitud a CA en ninguna parte del proceso, ¿por qué no funciona si el emisor del certificado no admite la transparencia del certificado?
  • ¿Protege solo contra certificados emitidos incorrectamente, o puede reemplazar completamente a OCSP porque protege todos los casos de certificados revocados (por ejemplo, de atacantes que han robado claves privadas en un servidor) ?
  • ¿El servidor, al que intenta conectarse el cliente, tiene que ser compatible con la transparencia del certificado? (como con el grapado OCSP)
pregunta user2284570 17.07.2016 - 00:21
fuente

1 respuesta

5

Transparencia del certificado resuelve un problema diferente de CRL y OCSP.

OCSP y CRLs manejar el problema de la revocación de certificados. La CA está ofreciendo la resolución de errores y malas acciones por parte de los usuarios de la CA. Es decir, se asume que la CA es infinitamente confiable, pero es posible que se deba revocar un certificado debido a una mala administración de claves o algún tipo de error relacionado con la emisión del certificado. La CA de confianza infinita luego publica una lista de certificados revocados (la CRL) y utiliza OCSP para garantizar que los clientes reciban el mensaje.

La transparencia del certificado, por otro lado, aborda el hecho de que las AC no son, de hecho, infinitamente confiables. Los CA que se portan mal han podido explotar el hecho de que la firma de certificados no es un evento público. Un certificado puede estar debidamente firmado pero nunca visto por el público. Si una CA maliciosa firma un certificado para usarlo contra una sola víctima, esa víctima puede ser el único cliente que haya visto el certificado, lo que hace que la mala conducta sea extremadamente difícil de detectar.

La transparencia del certificado mueve la firma del certificado a la vista pública. Las CA cooperantes publican inmediatamente los detalles de cada certificado que firman en uno de varios registros públicos mantenidos fuera del control de la CA. Si el cliente requiere transparencia de la CA en cuestión, los certificados de la CA no se consideran válidos por el navegador a menos que se hayan publicado en el registro público. Sin embargo, la TC es relativamente nueva, por lo que la aplicación es casi inexistente.

    
respondido por el tylerl 18.07.2016 - 02:06
fuente

Lea otras preguntas en las etiquetas

¿Por qué hay 0x00 bytes principales en el campo subjectPublicKey de un certificado DER X.509? Sospechoso acerca de la política de VPN de no registro: ¿le importa a alguien que demuestre que estoy equivocado?