¿Existe un proceso de verificación estándar para que lo sigan las Autoridades de certificación?

1

Entonces, la premisa de la pregunta es cuantificar el riesgo de los certificados de comodín frente a los certificados normales. De mi investigación, el mayor peligro fundamental de los certificados de comodín es la posibilidad de comprometer un sistema débil, obtener las claves privadas y, a continuación, puede hacerse pasar por cualquier sistema. Para que esto funcione, debe comprometer un sistema y el servidor DNS público (suponiendo que se trata de un ataque basado en Internet) y hacerlo antes de que se revoque el certificado.

Se me ocurrió que si los requisitos de las autoridades de certificación para verificar la validez de las empresas cambian, donde algunas son más fáciles para el ingeniero social que otras, puede descontar el riesgo de los certificados de comodines. Es decir, puede ser más fácil para alguien diseñar una CA social, entonces es entrar en un sistema y robar las claves privadas. Además, los Certificados nombrados pueden fomentar una falsa sensación de seguridad, ya que pueden ser imitados por otra autoridad confiable. Esto también crea otro problema donde la revocación del certificado está fuera de las manos de la compañía, donde un comodín podría utilizarlo.

Lo que no he podido encontrar es un estándar que deben seguir las Autoridades raíz al verificar los dominios de los clientes. ¿Hay alguna norma que deban seguir? Si no, ¿alguien sabe una lista o sitio de los diferentes requisitos de verificación de cada CA?

Gracias

    
pregunta Brett Littrell 26.01.2015 - 19:05
fuente

2 respuestas

5

Este documento Le puede dar una descripción histórica de cómo ha evolucionado la estandarización de las AC.

EDITAR:

Un fragmento del documento que ofrece una visión general del pozo:

  

El primer requisito impuesto específicamente a las AC como grupo estaba en   2000, cuando se realizó una auditoría de seguridad anual bajo WebTrust para CA   Los estándares fueron exigidos por los navegadores y otros con root de confianza.   víveres. Consulte los estándares de auditoría originales de WebTrust disponibles en    enlace . Estas   Los estándares se han actualizado de vez en cuando, por lo que el WebTrust actual   los estándares de auditoría se reflejan en los requisitos detallados de v.2.0 encontrados   En el mismo enlace. Incluso antes de los primeros estándares de WebTrust para CAs en   2000, la mayoría de las entidades de certificación también se sometieron a auditorías de rendimiento anuales bajo SAS 70   estándares (luego reemplazados por SSAE 16 / SOC 2 / SOC 3) - y muchos aún   hacer además de WebTrust. Casi todas las AC en América del Norte siguen la   Estándares de WebTrust, pero las CA en otras partes del mundo pueden ser auditadas   al equivalente ETSI (Normas Europeas de Telecomunicaciones)   Instituto) normas de auditoría - ver www.etsi.org. Las autoridades gubernamentales deben   presentar auditorías de desempeño del gobierno equivalentes periódicamente   bien.

    
respondido por el Herson 26.01.2015 - 19:24
fuente
1

Diría que los certificados de comodín no representan más peligro que un certificado ordinario de un solo dominio, siempre que la CA verifique realmente que el sujeto en cuestión posee la SLD completa y nunca emite certificados para ningún dominio de tercer nivel si el sujeto no puede demostrar la propiedad de todo el dominio de segundo nivel (SLD).

Por ejemplo, un certificado de comodines puede presentar un riesgo de seguridad, si una CA verifica a un cliente en customer123.freewebhost.com y luego emite un certificado de comodines para * .freewebhost.com, porque el cliente podrá suplantar Otros clientes en el mismo servidor web y posibilidad MITM ellos.

Dado que los requisitos previos para obtener un certificado realmente es que DEBE poseer la SLD, con la excepción de ciertos dominios de tercer nivel como .co.uk que se manejan como un TLD que es ".co.uk", el comodín Los certificados no presentan más riesgo de seguridad que un certificado ordinario. Algunas CA de dominio solo automatizado incluso prohíben .co.uk y todo eso completamente porque sus procesos automatizados no pueden diferenciar a alguien que afirma ser propietario de algo.tld o reclamar ser dueño de co.uk.

El riesgo de seguridad reside más bien en las CA que emiten certificados de CA intermedios y no realizan una verificación adecuada. Dado que un certificado de CA intermedio se puede usar para hacerse pasar por cualquier sitio, un certificado de CA intermedio se debe emitir solo con requisitos de "necesidad" estrictos, por ejemplo, nunca emita certificados de CA intermedios para cualquier persona que no necesite revender certificados a los clientes.

    
respondido por el sebastian nielsen 26.01.2015 - 22:19
fuente

Lea otras preguntas en las etiquetas