¿Por qué una organización como el DoD preferiría usar sus propios certificados de raíz?

14

Al navegar por algunos sitios militares y gubernamentales de los EE. UU., noté que su conexión HTTPS dependía de los certificados de raíz del DoD. Como la mayoría de nosotros sabemos, los navegadores web están precargados con un conjunto predeterminado de autoridades de certificado raíz que, por lo general, no incluyen las Autoridades de Certificación de Aseguramiento Medio del DoD y Raíz Clase 3 en su lista de Raíz intermedia y de confianza CAs. Como resultado, los navegadores web no reconocen el DoD como la Autoridad de certificación y aparecen según las advertencias.

Como la mayoría de los sitios relacionados muestran y explican (por ejemplo, en enlace y / o enlace y / o enlace ) el (los) certificado (s) esperado (s) Se puede instalar manualmente o mediante una herramienta de instalación; pero eso, obviamente, espera que el usuario dedique tiempo y esfuerzo, al mismo tiempo que juega con cosas que yo personalmente no esperaría que un "usuario / cliente" tenga que jugar en primer lugar. Especialmente, ya que la descarga del certificado raíz (o el uso de los instaladores) parece estar abierta a varios vectores de ataque (MitM).

A primera vista, esto no parece ser muy diferente de crear su propio certificado raíz y obligar a sus usuarios a descargar e instalar sus certificados autofirmados para que puedan navegar en su sitio web (civil) de forma segura y sin molestias. advertencias. Normalmente, las personas que piensan en este sentido están tratando de ser "llamémoslas" baratas, pero dudo que esa sea una razón válida cuando hablamos de sitios militares de EE. UU. Supongo sin rodeos que el DoD no tiene problemas de dinero que les impidan comprar certificados de CA bien establecidas (como el resto de nosotros).

Esto me hace preguntarme ... ¿cuáles son las ventajas potenciales para una organización como el DoD que podría explicar por qué están usando sus propios certificados de raíz? O, mirándolo desde otro ángulo, ¿existen desventajas si una organización como el Departamento de Defensa de los EE. UU. Confíe en las CA de raíz "públicas" que se suelen conocer y utilizar?

    
pregunta e-sushi 07.01.2017 - 15:01
fuente

2 respuestas

5

Ellos confían en los certificados raíz de CA generalmente disponibles para los sitios que se espera que estén disponibles al público a través de HTTPS. Consulte enlace para ver un ejemplo destacado.

Sin embargo, el DoD tiene una importante infraestructura de CA interna y es posible que aprovechen eso en lugar de los sitios que no están destinados para el uso de HTTPS (como su enlace , donde las solicitudes de HTTPS son simplemente 30x'ed a http) o sitios diseñados para uso interno de personas en equipos DoD como enlace (que también requiere una CAC [tarjeta inteligente emitida por el DoD] para la autenticación) o enlace .

    
respondido por el Xander 12.01.2017 - 23:59
fuente
-4

El DoD, y otras agencias gubernamentales, suelen crear su propio reino de seguridad (certificados, tarjetas inteligentes, dongles, etc.) para implementar protocolos de contención de seguridad rápidos.

    
respondido por el John Little 12.01.2017 - 22:38
fuente

Lea otras preguntas en las etiquetas