Por favor ayude a verificar mi comprensión del Certificado SSL de Validación de Dominio (DV)

16

Esto es lo que entiendo hasta ahora de leer varias bases de conocimiento y artículos sobre DV SSL. ¿Alguien puede ayudar a aclarar si alguno de estos está mal?

  • DV SSL (y el certificado SSL en general) solo se asocia con un nombre de dominio, no con la dirección IP configurada bajo DNS para ese dominio. Por lo tanto, si cambio la IP en el registro A de mi dominio, no necesito volver a comprar otro certificado SSL
  • La mayoría de los proveedores de DV SSL (por ejemplo: GoDaddy) verificará la propiedad del nombre de dominio enviando un correo electrónico a la dirección registrada en el registro de dominio 'whois'
  • Aunque DV SSL es el "extremo más bajo" de la certificación SSL, siempre que la clave privada y la contraseña del correo electrónico no caigan en la mano equivocada, ningún pirata informático debería poder registrar un SSL SSL para mi dominio y / o configurar un sitio web falso de suplantación de identidad bajo mi nombre de dominio sin que el navegador advierta al usuario de un posible ataque
pregunta gerrytan 27.08.2013 - 07:37
fuente

3 respuestas

16

Una Autoridad de Certificación , antes de emitir un certificado a una entidad E , con el nombre de E y E en el certificado, se supone que verifica que la clave pública en cuestión realmente pertenece a E . Para el certificado del servidor SSL:

  • El nombre de E es un nombre de host , como www.google.com , posiblemente con un "comodín" ( *.google.com ). Esto es lo que clientes SSL verifican ; esto se trata de nombres , no de direcciones IP.
  • La CA recibe la clave pública como solicitud de certificado .

Entonces, la noción de "identidad" vigente aquí es realmente una cuestión de propiedad del dominio. La CA desea asegurarse de que recibió la solicitud de alguien que controla el dominio. Hay varios métodos para eso; Los dos más utilizados son los siguientes:

  • La CA envía un desafío por correo electrónico a la dirección de correo electrónico especificada para el dominio en la base de datos WHOIS .
  • La CA desafía al solicitante con cierta información que se incluirá en el dominio, por ejemplo. un nombre de host aleatorio que se incluirá en el DNS.

Estas comprobaciones no son extremadamente sólidas (se basan en la "imposibilidad" de piratear, respectivamente, los correos electrónicos o el DNS, sin estar bien protegidos), por lo que existe una moda reciente para verificaciones más estrictas, denominada Certificados de validación extendida . Para un certificado EV, se supone que la CA debe hacer mucho más papeleo para asegurarse de que habla con la entidad correcta. Retrospectivamente, los certificados que no son EV se denominan "DV" (como "dominio validado").

El efecto neto de un certificado EV es que los navegadores web los reconocen como tales, y pueden mostrar ese hecho al usuario humano con una pantalla más lujosa, con mucho verde. Pero los certificados que no son EV técnicamente funcionan igual de bien. Solo vale la pena realizar un certificado de EV si los usuarios están capacitados para reconocer certificados de EV y se sienten más cómodos con un certificado de EV que con un certificado "normal" (que aún se muestra con el famoso icono de "candado"). En este momento, diría que la mayoría de los usuarios de Internet están lejos de ser conscientes de la distinción, por lo que comprar un certificado EV es un poco inútil.

(Los certificados EV serán útiles cuando se conviertan en obligatorios , es decir, cuando los navegadores web comiencen a rechazar o advertir sobre los certificados de servidor SSL que parecen ser válidos pero no están etiquetados como "EV". Esto es bastante difícil. transición y no veo que suceda en un futuro próximo.)

Para que un malo pueda obtener un certificado aparentemente válido con el nombre de servidor de su (el requisito previo para realizar un ataque de suplantación realmente exitoso), debe realizar una de las siguientes acciones:

  • Engaña a la CA. Engañar a la CA es más difícil para los certificados EV (ese es el punto). Sin embargo, incluso si usted obtiene un certificado EV, no evitará que el atacante obtenga un certificado no EV en su nombre de una CA crédula. Un certificado de EV lo protegerá contra una CA descuidada siempre y cuando sus clientes estén capacitados para pausar y sospechar si ven un certificado aparentemente válido pero no EV con el nombre de su sitio. Esto apenas parece realista en este momento.

  • Roba tu clave privada. Si un atacante roba su clave privada, entonces puede usarla con su certificado (que es público) para instalar su servidor falso. EV o no EV es irrelevante aquí; Lo que importa es que debes proteger bien tu clave privada. Si su servidor no funciona, informe a la CA para que pueda revocar su certificado y le emita otro (con una nueva clave).

  • Engaña al usuario humano para que ignore las advertencias muy rojas y aterradoras del navegador cuando se muestra un certificado no válido. No puedes realmente defenderte de eso, excepto educando a tus usuarios. Las advertencias mostradas por los navegadores web tienden a aumentar en la sensación de miedo (y enrojecimiento también) con el tiempo.

  • Engaña al usuario humano para que se conecte a un dominio propiedad del atacante con un certificado perfectamente válido, y un nombre que se vea como el nombre del servidor deseado. P.ej. www.gogle.com o www.google.business.com en lugar de www.google.com (ejemplos ficticios). Una vez más, solo la educación del usuario puede realmente funcionar en contra de eso.

La mayoría de los ataques de phishing se basan en uno de los dos últimos métodos, por lo que esto significa que no debe preocuparse demasiado por la dicotomía DV / EV. El realmente punto importante para la seguridad es educación del usuario .

    
respondido por el Thomas Pornin 27.08.2013 - 14:55
fuente
3

Los certificados SSL validados de dominio (DV) son técnicamente los mismos que los certificados de validación extendida (EV).

La razón por la cual los certificados EV son más caros es que, aparte del nombre de dominio, el vendedor también tiene que verificar más información sobre su identidad. Para verificar que realmente eres el propietario de google.com , él necesita contactarte y tiene que hacer otro trabajo administrativo.

Para la mayoría de los sitios web más pequeños, el certificado validado de dominio está bien, el usuario no tendrá inconvenientes y los certificados EV son realmente demasiado caros en mi opinión (el esfuerzo no justifica el precio).

    
respondido por el martinstoeckli 27.08.2013 - 09:24
fuente
2

La respuesta actual tiene algunas inexactitudes:

  • EV SSL hace coincidir la identidad con la clave pública en el certificado
  • DV SSL no

Todo lo que hace SSL con dominio validado es probar que tienes un nombre de dominio. Un certificado DV SSL no establece ninguna conexión entre una entidad legal y el certificado.

En la respuesta actual:

  

ningún pirata informático debería poder registrar un DV SSL para mi dominio y / o configurar un sitio web falso de suplantación de identidad bajo mi nombre de dominio sin que el navegador advierta al usuario de un posible ataque

Esto no es correcto:

  • Alguien podría registrar yourdomainlogin.com o yourdomain.com.tld. Aquí están los certificados de dominio validados que se emiten para enlace y enlace .

  • Cualquier otra persona podría registrar *.otherdomain.com . Luego, a continuación, agregue el host yourdomaincom.otherdomain.com. Así es como funcionan las estafas de suplantación de identidad (phishing) . Los comodines como este están permitidos para DV SSL y prohibidos para EV.

  • Sí, en serio. Puede obtener un certificado de dominio validado para un dominio como somecompanysupport.com, aunque no tenga nada que ver con Some Company, y se considera correcto.

De la respuesta marcada actual:

  

"el nombre de la entidad es un nombre de host, esto es lo que verifican los certificados SSL"

Solo es correcto para los certificados validados de dominio. El asunto : lo que un certificado SSL está verificando posee la clave pública en el certificado puede ser:

  • un nombre de dominio (o dominio comodín) para certificados validados de dominio. Una vez más, el dominio validado SSL no afirma que esto coincida con ninguna entidad legal en particular.

  • el ID de una empresa u organización incorporada que se verificó con un certificado EV

De enlace :

Mirando el certificado de dominio validado:

openssl x509 -in domain-validated-example.com.crt -noout -text | grep Subject
 OU=Domain Control Validated
 CN=billing.example.com
 DNS:billing.example.com

Aquí hay un certificado EV que contiene un ID de empresa registrado por el gobierno en lugar de un nombre de dominio:

openssl x509 -in extended-validated-example.com.crt -noout -text | grep Subject:
   jurisdictionOfIncorporationCountryName=GB
   businessCategory=Private Organization
   serialNumber=09378892
   C=GB
   ST=City of London
   L=London
   O=example Limited
   CN=billing.example.com
   DNS:billing.example.com -

Las empresas en el Reino Unido están registradas con una organización en todo el Reino Unido llamada Companies House. El número de serie 09378892 en el certificado anterior es un número de registro de la compañía de Companies House.

En los EE. UU., las organizaciones se registran por estado, por lo que los Números de serie en los certificados de EE. UU. se refieren a la identificación de la empresa en la Secretaría de Estado correspondiente.

    
respondido por el mikemaccana 21.08.2015 - 11:03
fuente

Lea otras preguntas en las etiquetas