Servidores de respuesta de OCSP y bloqueo de sitios maliciosos

3

Así que he estado buscando una respuesta a esta, pero nadie parecía haber preguntado esto antes. Por lo que yo entiendo, cuando se conecta a un sitio web. El navegador envía una consulta a un servidor OCSP para verificar la validez actual de su certificado ssl / tls. También consulta un servicio para verificar si el sitio web es malicioso ("bloquear sitios de ataques informados" en Firefox) Lo que me vino a la mente es: ¿esto no plantea un problema de privacidad? ¿Si todos los sitios que visito se transfieren a algún servidor para comprobar si es malicioso o si tiene un certificado válido?

Soy consciente del hecho de que las CA raíz de SSL se almacenan localmente, pero la validez del certificado del sitio web no lo es.

    
pregunta Jasper Weiss 07.11.2015 - 14:52
fuente

1 respuesta

3
  

El navegador envía una consulta a un servidor OCSP para verificar la validez actual de su certificado ssl / tls.

Sí, con OCSP, el OCSP podría averiguar qué sitio visita el usuario. No puede determinar qué URL, pero puede determinar el certificado al que el navegador intenta acceder y, por lo tanto, a qué sitio. Las solicitudes de OCSP no se realizan para cada solicitud de HTTPS al mismo sitio, pero la respuesta se almacena en caché durante algún tiempo. Algunos servidores obtienen periódicamente la respuesta de OCSP del respondedor de OCSP y la envían junto con el certificado (grapado de OCSP). En este caso, el navegador no necesita consultar al respondedor OCSP, lo que es bueno para la privacidad y también para el rendimiento. Aparte de eso, el navegador Chrome ya no utiliza OCSP, sino que tiene su propia lista de certificados revocados. No todos están de acuerdo en que esta es realmente la mejor manera .

  

También consulta un servicio para verificar si el sitio web es malicioso ("bloquear los sitios de ataques informados" en Firefox)

Las versiones iniciales de esta función (Google Safebrowsing) verificaron cada sitio preguntando a un servidor central, pero esto fue hace mucho tiempo. Hoy en día, una base de datos local se actualiza regularmente y las comprobaciones se realizan fuera de línea en esta base de datos. Solo si esta verificación fuera de línea indica que el sitio puede ser malicioso, se conectará en línea y verificará esto con el servidor central. Por lo tanto, esta característica ya no es una gran invasión de la privacidad.

Pero hay varios productos de firewall / antivirus que aún se comportan de esta manera y envían direcciones URL desconocidas al proveedor de firewall, que luego hace otro acceso para analizar el sitio potencialmente malicioso. Algunos proveedores incluso llegan a vender estos perfiles a partes interesadas como anunciantes .

    
respondido por el Steffen Ullrich 07.11.2015 - 15:50
fuente

Lea otras preguntas en las etiquetas