¿La comprobación de una huella digital precompartida de un certificado es lo suficientemente buena para TLS?

4

Un tercero al que mi sistema necesita conectarse (a través de FTPS) está usando un certificado en el que la máquina no confía (certificado desconocido).

Si quiero evitar instalar los certificados de la autoridad emisora en todos los servidores en los que mi aplicación necesita ejecutarse, ¿podría como alternativa que el tercero confirme por adelantado la huella digital SHA-256 de su certificado, y simplemente anular mi lógica de validación de certificado para comprobar la huella digital?

¿Eso brindaría el mismo nivel de seguridad que al instalar los certificados de la autoridad emisora?

He leído las respuestas a esta pregunta , y me hace pensar que esto está bien, pero mi pregunta es acerca de la configuración de mi aplicación con las huellas digitales y su uso para validar los certificados recibidos en lugar de revisar manualmente las huellas digitales mientras se navega, etc.

    
pregunta Ergwun 10.03.2017 - 05:58
fuente

1 respuesta

3

A lo que se refiere generalmente se le llama fijación, es decir, compruebe que la aplicación conoce el certificado o la clave pública que contiene, ya sea comparando el certificado / clave de publicación en sí o utilizando una huella digital para validación.

Esta es una forma perfectamente válida de validar un certificado siempre y cuando la huella dactilar sea lo suficientemente fuerte, es decir, el SHA-256 está bien, mientras que el MD5 se considera roto durante mucho tiempo y los ataques prácticos contra el SHA-1 solo se mostraron, por lo que es malo. Sin embargo, tener solo la fijación no ofrece una forma para que el cliente compruebe la revocación del certificado. Esto podría estar bien si la verificación del certificado se realiza dentro de una aplicación y la aplicación se actualizará rápidamente con una nueva huella digital cuando sea necesario, pero no es una buena idea si no hay manera de actualizar la huella digital esperada de manera segura.

    
respondido por el Steffen Ullrich 10.03.2017 - 06:28
fuente

Lea otras preguntas en las etiquetas