¿Existe un proceso de verificación estándar para que lo sigan las Autoridades de certificación?

Question

¿Existe un proceso de verificación estándar para que lo sigan las Autoridades de certificación?

#1 de Herson (5 votos)
#2 de sebastian nielsen (1 votos)

1

Entonces, la premisa de la pregunta es cuantificar el riesgo de los certificados de comodín frente a los certificados normales. De mi investigación, el mayor peligro fundamental de los certificados de comodín es la posibilidad de comprometer un sistema débil, obtener las claves privadas y, a continuación, puede hacerse pasar por cualquier sistema. Para que esto funcione, debe comprometer un sistema y el servidor DNS público (suponiendo que se trata de un ataque basado en Internet) y hacerlo antes de que se revoque el certificado.

Se me ocurrió que si los requisitos de las autoridades de certificación para verificar la validez de las empresas cambian, donde algunas son más fáciles para el ingeniero social que otras, puede descontar el riesgo de los certificados de comodines. Es decir, puede ser más fácil para alguien diseñar una CA social, entonces es entrar en un sistema y robar las claves privadas. Además, los Certificados nombrados pueden fomentar una falsa sensación de seguridad, ya que pueden ser imitados por otra autoridad confiable. Esto también crea otro problema donde la revocación del certificado está fuera de las manos de la compañía, donde un comodín podría utilizarlo.

Lo que no he podido encontrar es un estándar que deben seguir las Autoridades raíz al verificar los dominios de los clientes. ¿Hay alguna norma que deban seguir? Si no, ¿alguien sabe una lista o sitio de los diferentes requisitos de verificación de cada CA?

Gracias

certificate-authority social-engineering wildcard

pregunta Brett Littrell 26.01.2015 - 19:05

fuente

2 respuestas

Lea otras preguntas en las etiquetas certificate-authority social-engineering wildcard

Los archivos de recursos de JavaScript están disponibles sin autenticación. ¿Es esto un riesgo de seguridad? Seguridad externa de JS

score 5 · Answer 1

Este documento Le puede dar una descripción histórica de cómo ha evolucionado la estandarización de las AC.

EDITAR:

Un fragmento del documento que ofrece una visión general del pozo:

El primer requisito impuesto específicamente a las AC como grupo estaba en 2000, cuando se realizó una auditoría de seguridad anual bajo WebTrust para CA Los estándares fueron exigidos por los navegadores y otros con root de confianza. víveres. Consulte los estándares de auditoría originales de WebTrust disponibles en enlace . Estas Los estándares se han actualizado de vez en cuando, por lo que el WebTrust actual los estándares de auditoría se reflejan en los requisitos detallados de v.2.0 encontrados En el mismo enlace. Incluso antes de los primeros estándares de WebTrust para CAs en 2000, la mayoría de las entidades de certificación también se sometieron a auditorías de rendimiento anuales bajo SAS 70 estándares (luego reemplazados por SSAE 16 / SOC 2 / SOC 3) - y muchos aún hacer además de WebTrust. Casi todas las AC en América del Norte siguen la Estándares de WebTrust, pero las CA en otras partes del mundo pueden ser auditadas al equivalente ETSI (Normas Europeas de Telecomunicaciones) Instituto) normas de auditoría - ver www.etsi.org. Las autoridades gubernamentales deben presentar auditorías de desempeño del gobierno equivalentes periódicamente bien.

score 1 · Answer 2

Diría que los certificados de comodín no representan más peligro que un certificado ordinario de un solo dominio, siempre que la CA verifique realmente que el sujeto en cuestión posee la SLD completa y nunca emite certificados para ningún dominio de tercer nivel si el sujeto no puede demostrar la propiedad de todo el dominio de segundo nivel (SLD).

Por ejemplo, un certificado de comodines puede presentar un riesgo de seguridad, si una CA verifica a un cliente en customer123.freewebhost.com y luego emite un certificado de comodines para * .freewebhost.com, porque el cliente podrá suplantar Otros clientes en el mismo servidor web y posibilidad MITM ellos.

Dado que los requisitos previos para obtener un certificado realmente es que DEBE poseer la SLD, con la excepción de ciertos dominios de tercer nivel como .co.uk que se manejan como un TLD que es ".co.uk", el comodín Los certificados no presentan más riesgo de seguridad que un certificado ordinario. Algunas CA de dominio solo automatizado incluso prohíben .co.uk y todo eso completamente porque sus procesos automatizados no pueden diferenciar a alguien que afirma ser propietario de algo.tld o reclamar ser dueño de co.uk.

El riesgo de seguridad reside más bien en las CA que emiten certificados de CA intermedios y no realizan una verificación adecuada. Dado que un certificado de CA intermedio se puede usar para hacerse pasar por cualquier sitio, un certificado de CA intermedio se debe emitir solo con requisitos de "necesidad" estrictos, por ejemplo, nunca emita certificados de CA intermedios para cualquier persona que no necesite revender certificados a los clientes.