¿Cómo puede evitar que los empleados de su empresa creen certificados ssl válidos? [duplicar]

17

Al registrarme para un certificado SSL, pude validar que yo era el "propietario" del dominio para el que estaba creando el certificado al tener una dirección de correo electrónico válida @ domain.com. Si trabajé para una empresa grande, digamos Microsoft o algo así, y tengo una dirección de correo electrónico válida [email protected], ¿cómo no puedo crear un certificado SSL válido para microsoft.com?

Tal vez Microsoft tenga algo para manejar esto, pero ¿qué pasa si la compañía es un poco más pequeña y no tiene nada?

    
pregunta Anthony Kraft 21.03.2014 - 02:50
fuente

2 respuestas

22

No es solo ninguna dirección de correo electrónico en ese dominio. Tengo una dirección de gmail válida, pero eso no es suficiente para convencer a Verisign de que poseo gmail.com.

En su lugar, como mínimo, debe controlar una de un conjunto específico de direcciones, incluida la dirección de correo electrónico que figura en el registro de whois del dominio, y también a menudo algunas de las siguientes:

Además de eso, dependiendo del dominio en cuestión y con frecuencia activado por un sistema de marcado automático, pueden requerir una validación manual adicional por parte de un empleado de la AC. Si intentara obtener un certificado para microsoft.com, por ejemplo, probablemente no funcionaría incluso si sí controlara una de las direcciones de correo electrónico mencionadas anteriormente.

    
respondido por el tylerl 21.03.2014 - 02:57
fuente
7

La autoridad de registro para un certificado determinado la autoridad tiene reglas que rigen cómo verificarán la identidad de un solicitante. No todas las autoridades tienen igual seguridad o control de calidad. El sistema se basa en que la autoridad de registro hace su debida diligencia, pero si no están de acuerdo, alguien podría obtener un certificado que no debería.

Por eso se introdujeron los certificados de Validación ampliada (EV) . Para obtener uno de estos certificados se requiere una mayor cantidad de verificación de antecedentes y diligencia debida, lo que le da al usuario final una mayor garantía de que es un certificado legítimo. Existen pautas de la industria para emitir un certificado EV.

Por ejemplo:

  

9.2.1 Campo de nombre de la organización del sujeto

     

Campo de certificado : subject: organizationName (OID 2.5.4.10)

     

Requerido / Opcional : Requerido

     

Contents : este campo DEBE contener la   El nombre completo de la organización legal del sujeto que figura en la lista   los registros de la Agencia Incorporadora o Registradora en el   Jurisdicción de Incorporación o Registro o de otra manera   verificado por la CA según lo dispuesto en el presente documento. A CA PUEDE abreviar la   prefijos o sufijos de organización en el nombre de la organización, por ejemplo, si   el registro oficial muestra "Nombre de la empresa incorporada" el CA MAYO   incluya "Nombre de la compañía, Inc."

Puede encontrar este blog, W hy son la Certificación Los requisitos de línea de base de la autoridad / navegador son tan importantes? , en el sitio de Symantec son útiles para esta pregunta.

    
respondido por el Eric G 21.03.2014 - 03:54
fuente

Lea otras preguntas en las etiquetas