¿Es posible identificar los certificados ssl pendientes?

3

¿Es posible identificar qué entidades certificadoras han emitido certificados válidos para un dominio determinado? Por ejemplo, si mi servidor deja mi control por un período de tiempo, es posible determinar si se registró con alguna CA que no conocería (y, por lo tanto, determinar si algún tercero tiene acceso a una clave privada válida que sí tengo). no sabe sobre).

    
pregunta Nicholas Long 22.04.2017 - 12:47
fuente

3 respuestas

3

No es posible averiguar si todas las CA existentes han emitido un certificado para un dominio específico. Sin embargo, es posible obtener esta información para muchas de las CA públicas que se incluyen de forma predeterminada como confiables en los navegadores / OS porque estas CA publican certificados recién emitidos en registros de certificados de acceso público. Estos registros pueden luego ser monitoreados y también buscados por otros, por ejemplo, utilizando la interfaz proporcionada por google .

Aunque no todas las CA públicas publican actualmente tales registros, parece que Google Chrome requerirá esto para todas las CA públicas incluidas en Chrome hasta octubre de 2017 .

Para obtener más información sobre la idea detrás de estos registros y cómo funcionan en detalle, consulte el sitio web de transparencia de certificados .

    
respondido por el Steffen Ullrich 22.04.2017 - 15:11
fuente
2

Sí : eso es lo que Certificación de certificados está intentando archivar.

  

La transparencia del certificado tiene como objetivo remediar estos certificados basados en certificados.   amenazas al abrir la emisión y existencia de certificados SSL   a escrutinio por parte de los propietarios de dominios, entidades emisoras de certificados y usuarios del dominio. Específicamente,   La transparencia del certificado tiene tres objetivos principales:

     
  • Hace imposible (o al menos muy difícil) que una CA emita un certificado SSL para un dominio sin que el certificado sea visible   al propietario de ese dominio.
  •   
  • Proporcione un sistema abierto de auditoría y monitoreo que permita a cualquier propietario del dominio o CA determinar si los certificados se han equivocado   o emitido maliciosamente.
  •   
  • Proteja a los usuarios (en la medida de lo posible) para que no sean engañados por certificados que se emitieron por error o maliciosamente.
  •   

( Source )

Esto significa que usted, como propietario de un dominio, puede consultar qué certificados se emitieron. Puede consultar estos registros, por ejemplo, en enlace . Así es como se ve en example.com:

TengaencuentaqueestosolofuncionaparalasAutoridadesdecertificadosqueproporcionan" Registros de transparencia de certificados ". Google sin embargo ...

  

[...] alienta a todas las CA a escribir los certificados que emiten para   Registros públicamente verificables, de solo aplicación, a prueba de manipulaciones. En el futuro,   Chrome y otros navegadores pueden decidir no aceptar certificados que   no se han escrito en dichos registros. ( Fuente )

    
respondido por el Lukas 22.04.2017 - 15:11
fuente
0

No, no lo es, pero esto no es un problema (si entendí correctamente su preocupación).

Para que la CA pueda emitirle un certificado, debe generar una solicitud de certificado que esté vinculada al servidor web. Luego obtiene un certificado que puede instalar en este servidor y no en otro.

Si no tenía el control del servidor web y ahora lo tiene, simplemente verifique qué certificados TLS están configurados para el servidor (o varios hosts virtuales). Si son todos tuyos, entonces estás bien, incluso si alguien tiene un certificado, no se puede utilizar en ningún otro lugar.

El caso es un poco más complicado para un certificado comodín: ahora depende de si otras personas pueden instalar hosts virtuales en él o no.

    
respondido por el WoJ 22.04.2017 - 14:00
fuente

Lea otras preguntas en las etiquetas