¿Por qué los navegadores no revisan los registros de la CAA para asegurarse de que un certificado sea válido?

15

Si entiendo correctamente, los registros DNS de Autorización de Autoridad de Certificación se utilizan para especificar qué autoridades de certificación tienen permiso para emitir certificados para un dominio determinado. Si ese registro existe y una CA no figura en él, esa CA debe negarse a emitir un certificado para el dominio.

Sin embargo, esto no parece proteger contra las vulnerabilidades en la CA. Si alguna autoridad de confianza no implementa CAA correctamente, o si se infringen las claves privadas de una autoridad, CAA no ayuda.

Mi pregunta es, ¿por qué los navegadores no revisan los registros de CAA? Si el certificado otorgado no fue emitido por una CA autorizada en el registro, consideraría que el certificado no es válido. Esto aumentaría en gran medida la seguridad al reducir la lista de CA que deben confiarse solo a aquellas en las que el propietario del sitio web confía.

Entiendo que HPKP también se usa para prevenir certificados incorrectos. Sin embargo, solo funciona con HTTP y requiere confiar en el primer certificado recibido para un sitio o confiar en una lista de precarga de terceros.

Entonces, ¿esto es algo que los navegadores podrían implementar, o me estoy perdiendo algo aquí?

    
pregunta FlyingPiMonster 03.03.2018 - 21:09
fuente

1 respuesta

20

Acabo de encontrar la respuesta en RFC 6844 , Registro de recursos de Autorización de Certificación de DNS (CAA):

  

Un conjunto de registros CAA describe solo las concesiones actuales de autoridad para      emitir certificados para el dominio DNS correspondiente. Desde un      El certificado es típicamente válido por al menos un año, es posible      que un certificado que no es conforme con los registros CAA      publicado actualmente era conforme con los registros de la CAA publicados en      La hora en que se emitió el certificado. Las aplicaciones de confianza deben      NO utilice los registros de CAA como parte de la validación de certificados. [énfasis mío]

Básicamente, no es el propósito de CAA describir qué certificados son actualmente válidos para un dominio. Si se emite un certificado cuando la CA está en el registro y el registro se elimina más tarde, entonces el certificado debe permanecer válido hasta que caduque (o sea revocado).

La validación de certificados en el navegador (o aplicación de confianza) a través de DNS parece ser el propósito de DANE, o autenticación basada en DNS de entidades nombradas, especificada en RFC 6698 . Desafortunadamente, DANE no se implementa ampliamente.

    
respondido por el FlyingPiMonster 03.03.2018 - 21:31
fuente

Lea otras preguntas en las etiquetas