WoSign ha estado en los medios para ofrecer certificados de cliente y servidor gratuitos . Dado que uno de mis certificados S / MIME (gratis) de otra CA está a punto de caducar poco después de un año y WoSign ofrece certificados, que son válidos durante estos años, solicité su certificado, porque esperaba poder omitir el certificado. -creación de nuevos certificados en los próximos años.
Durante el proceso, me pregunté por qué no había ninguna indicación de mi navegador de que estaba creando un par de claves, como estoy acostumbrado a mis últimas aplicaciones en diferentes CA. Cuando el proceso finalizó, se ofreció un archivo PFX para descargar. No es necesario exportar el certificado desde el almacenamiento de certificados del navegador.
Según su política (en el capítulo 3.2.1), Oferta para generar una clave privada para sus suscriptores. Entiendo que esto debe evitarse, porque nadie, excepto el propietario, debe estar en posesión de una clave privada. Si bien dicen que los suscriptores también pueden elegir crear sus propias claves privadas y CSR para los certificados de servidor, no hacen ninguna declaración sobre la creación de la clave privada para el certificado del cliente de otra manera.
Es mi suposición correcta, que las claves privadas utilizadas para sus certificados de cliente realmente se crean en el lado del servidor, y es correcta, que (aunque afirman que no) podrían conservarla y usarla para descifrar / ¿Firmar mensajes, exactamente como los suscriptores podrían hacer con su certificado? Esto debería ser totalmente inaceptable, porque uno tendría que confiar en ellos, que eliminen la clave privada, que ni siquiera deberían tener en primer lugar. Pero como no pude encontrar ninguna crítica sobre un problema de este tipo en el proceso de emisión del certificado de cliente, es posible que me haya salido mal.