¿Los certificados WoSign S / MIME se generan en el servidor y, por lo tanto, no son seguros de usar?

3

WoSign ha estado en los medios para ofrecer certificados de cliente y servidor gratuitos . Dado que uno de mis certificados S / MIME (gratis) de otra CA está a punto de caducar poco después de un año y WoSign ofrece certificados, que son válidos durante estos años, solicité su certificado, porque esperaba poder omitir el certificado. -creación de nuevos certificados en los próximos años.

Durante el proceso, me pregunté por qué no había ninguna indicación de mi navegador de que estaba creando un par de claves, como estoy acostumbrado a mis últimas aplicaciones en diferentes CA. Cuando el proceso finalizó, se ofreció un archivo PFX para descargar. No es necesario exportar el certificado desde el almacenamiento de certificados del navegador.

Según su política (en el capítulo 3.2.1), Oferta para generar una clave privada para sus suscriptores. Entiendo que esto debe evitarse, porque nadie, excepto el propietario, debe estar en posesión de una clave privada. Si bien dicen que los suscriptores también pueden elegir crear sus propias claves privadas y CSR para los certificados de servidor, no hacen ninguna declaración sobre la creación de la clave privada para el certificado del cliente de otra manera.

Es mi suposición correcta, que las claves privadas utilizadas para sus certificados de cliente realmente se crean en el lado del servidor, y es correcta, que (aunque afirman que no) podrían conservarla y usarla para descifrar / ¿Firmar mensajes, exactamente como los suscriptores podrían hacer con su certificado? Esto debería ser totalmente inaceptable, porque uno tendría que confiar en ellos, que eliminen la clave privada, que ni siquiera deberían tener en primer lugar. Pero como no pude encontrar ninguna crítica sobre un problema de este tipo en el proceso de emisión del certificado de cliente, es posible que me haya salido mal.

    
pregunta Gurken Papst 09.05.2015 - 22:39
fuente

1 respuesta

1

Estos certificados tienen muy poco valor. En primer lugar, permitirles generar la clave privada es muy cuestionable. No tenemos detalles sobre cómo lo hacen o si conservan esta información; por lo que sabemos, usan la misma clave privada para todos los certificados o retienen la información clave, que no se puede hacer de manera segura (imagine lo que hace un rico objetivo que la base de datos sería!).

el otro problema con este servicio es que tiene procesos de verificación muy débiles. El único beneficio real de usar un servicio de certificados es darle a su certificado un nivel adicional de confianza. Si recibo un correo electrónico o visito un sitio con un certificado, el grado en el que confiaré en ese certificado lo determina el nivel de confianza que tengo en la autoridad emisora. Los certificados emitidos por esta "autoridad" tienen un nivel de confianza extremadamente bajo porque el emisor no realiza ninguna investigación real para garantizar que el certificado se emita al sitio "real" o al propietario de la dirección.

Básicamente, todo lo que este servicio está haciendo es facilitar que alguien obtenga un certificado que no quiere aprender a crear su propio certificado usando algo como pgp. Por supuesto, los certificados que usted mismo cree no tienen mucha confianza, pero esa es la razón por la que normalmente aumentaría esa confianza a través de partes firmantes clave o utilizando una CA reconocida que realiza una investigación adecuada. Combine eso con el hecho de que no sabe quién tiene acceso a la clave privada (suponiendo que permita que el sitio genere esos datos) y los certificados proporcionados por este servicio posiblemente sean incluso menos confiables que incluso un certificado autofirmado.

    
respondido por el Tim X 15.05.2015 - 01:03
fuente

Lea otras preguntas en las etiquetas