Seguridad de los certificados SSL comprados a través de revendedores

1

Hay muchos revendedores de certificados SSL: algunos son empresas bien conocidas con buena reputación (por ejemplo, registradores de nombres de dominio), mientras que otros son compañías pequeñas y desconocidas.

Está claro que los revendedores no tienen acceso a las claves privadas de los certificados adquiridos a través de ellos (a menos que la clave privada sea entregada o tomada del revendedor; CSR no no contiene clave privada). / p>

Pero la parte difícil son los procedimientos de validación realizados en la reemisión (emisión de un certificado similar con una clave privada diferente, durante el período de validez del certificado).

  1. Mi experiencia muestra que, al menos en algunas combinaciones de revendedor-CA, los certificados antiguos no se revocan automáticamente / inmediatamente al reemitirse. Esto conduce a una situación en la que varios certificados (con diferentes claves privadas) para el mismo nombre de dominio son válidos durante el mismo período de validez, comprados a través del mismo certificado de compra. También hay algunos casos de uso legítimos para esto (por ejemplo, si varios servidores que sirven el mismo sitio están protegidos con el "mismo" certificado y cada servidor tiene su propia clave privada). ¿Existen CA que revocan automáticamente los certificados antiguos durante la reemisión?
  2. Mi experiencia muestra que, al menos en algunas revendedores-CA combinaciones (al menos nivel de dominio), la revalidación se realiza siempre durante la reemisión. ¿Existe alguna reglamentación para que las CA hagan cumplir la re-validación en cada reemisión? ¿Existe el riesgo de que el revendedor malintencionado pueda engañar a CA y solicitar una nueva emisión del certificado sin el procedimiento de revalidación (es decir, puede el revendedor malintencionado generar su propio CSR, dárselo a CA / RA y firmarlo, alegando que su cliente está haciendo una nueva emisión)? En caso afirmativo, ¿existen CA cuyas políticas requieran volver a validarse en cada reemisión?

Básicamente, la pregunta es: ¿es seguro comprar certificados SSL de revendedores baratos (y desconocidos)? ¿O pueden abusar del proceso de reemisión (engañando a los CA / RA para emitir certificados fraudulentos)?

    
pregunta DavisNT 25.12.2014 - 01:04
fuente

2 respuestas

3

No es menos seguro que pasar directamente a través de una CA. Los CA pueden ser comprometidos como cualquier otra persona. Incluso si la CA requiriera una revalidación, el revendedor podría simplemente decir que lo hizo.

    
respondido por el Ben 29.12.2014 - 17:19
fuente
2

Por lo general, es tan seguro comprar certificados a través de revendedores como comprar directamente a la AC a través de la cual opera el revendedor. Al final, la relación está definida por la CA y el revendedor opera dentro de los límites definidos por esa CA; Si existe alguna inseguridad debido a esta relación, es responsabilidad de la AC remediarla.

    
respondido por el tylerl 28.12.2014 - 02:40
fuente

Lea otras preguntas en las etiquetas