¿Es seguro distribuir listas de revocación de certificados a través de HTTP? [duplicar]

1

Todavía estoy tratando de entender la funcionalidad de una Autoridad de Certificación, por lo que si esto es obvio, me disculpo.

Entiendo que las CRL desempeñan un papel cuando la CA quiere invalidar un determinado certificado SSL. En cada certificado SSL que verifiqué, las URL de OCSP y CRL se sirven en HTTP simple. ¿Hay alguna razón en particular para distribuirlos a través de HTTP?

Las posibilidades de que alguien robe la clave privada de un servidor y falsifiquen la conexión de los clientes con los servidores de CA son muy escasas, pero me pregunto si hay alguna otra razón técnica o de accesibilidad.

Como siempre, gracias por su atención y tiempo

    
pregunta Ayesh K 03.07.2016 - 02:24
fuente

1 respuesta

4

HTTPS (o cualquier cliente TLS realmente) necesita conocer el estado de revocación del certificado antes de poder confiar en esa conexión TLS. Si no se puede confiar en la conexión HTTPS utilizada para obtener el CRL en sí, ¿cuál es el punto? Sin mencionar que su conexión HTTPS original desencadena una búsqueda de CRL, que a su vez desencadena otra conexión HTTPS para el servidor de CRL, que a su vez ... usted obtiene el punto, terminamos con un bucle infinito de recursos caros, no confiables y por lo tanto, las conexiones sin sentido.

Afortunadamente, las CRL están firmadas por sí mismas, por lo que el medio de transmisión no importa, por el contrario, debe ser lo más liviano posible, por lo que excluye HTTPS (o cualquier otro protocolo de cifrado).

    
respondido por el André Borie 03.07.2016 - 02:50
fuente

Lea otras preguntas en las etiquetas