¿Cómo y en qué contexto funciona la RSE?

Navega tus respuestas
0

Estoy tratando de entender el escenario en el que CSR (solicitud de firma de certificado) puede ser útil. Por favor, ayúdame a entender el concepto y uso.

  

Autenticación mutua

En la autenticación del lado del cliente, donde un cliente genera una CSR que debe firmar la CA raíz de confianza del servidor. El resultado puede ser un certificado público del cliente, que puede ser utilizado por el servidor para autenticar al cliente mediante el cifrado de su clave de sesión utilizando la clave pública del cliente.

  

MITM es decir, proxy SSL

El objetivo, es ver todo el tráfico SSL saliente que va a los recursos externos, por ejemplo, twitter, facebook, etc. Haga que la autoridad de la CA a bordo del dispositivo SSL genere un par de claves pública-privada, genere una solicitud de CSR y haga que la firme una firma de confianza. autoridad raíz, por ejemplo, verisign. Por lo tanto, cuando la solicitud del cliente para acceder a un sitio web ssl, el proxy ssl pasa el certificado del servidor proxy SSL que es aceptado por el navegador local del usuario desde que está firmado por la CA local, De SSL al servidor de destino, utilizaremos un certificado público aprobado por CSR para cifrar la sesión clave para su uso por el servidor de destino.

Sé que la descripción anterior simplemente describe una descripción muy vaga de alto nivel del proceso. Solo quería entender el concepto de alto nivel involucrado.

    
pregunta Saladin 08.08.2017 - 20:00
fuente

2 respuestas

3

Una CSR le permite a un usuario obtener una autoridad de certificación (CA) para otorgarle un certificado firmado, sin que la CA sepa la clave privada del usuario. Un certificado X.509 tiene algunas piezas importantes: el sujeto (para quién es el certificado), el período de validez del certificado, los usos permitidos del certificado, la clave pública del sujeto y la firma del emisor (es decir, una firma generada usando el problema). clave privada, donde el emisor es generalmente una CA). Un CSR tiene la mayor parte de esa información, excepto que carece del certificado de emisor (porque es generado por el usuario, que suele ser el sujeto) y se envía al emisor, por lo que aún no puede llevar la firma del emisor). La CA firma el CSR, convirtiéndolo de una solicitud de firma de certificado en un certificado firmado.

Lo bueno es que, para hacer esto, el emisor nunca tiene que ver la clave privada del sujeto, solo la pública (que es, por supuesto, pública). El usuario debe tener una clave privada correspondiente para la clave pública que envía, o no podría usar el certificado devuelto para nada, pero el emisor (es decir, la CA) no tiene que saber qué esa clave privada es.

Esta es una alternativa mejor al enfoque simple e ingenuo, que sería el emisor que genera el par de claves público-privadas, luego construye un certificado con esa clave pública, lo firma y envía el certificado y la clave privada. al usuario. Los problemas para hacer eso:

  • La CA sabría su clave privada, al menos hasta que la hayan olvidado / borrado. Idealmente, nadie más debería conocer su clave privada.
  • La clave privada debería transmitirse de forma muy segura (para que un tercero no pueda interceptarla); Esto es duro. Es mejor no transmitirlo nunca.
  • El usuario puede querer generar la clave de una manera particular, por ejemplo, utilizando un generador de números aleatorios en el que confía que sea particularmente bueno, en lugar de confiar en la CA para producir una calidad de clave aceptable. (Debe esperar que los demás confíen en la clave maestra de la AC; de lo contrario, su firma en su certificado carece de significado), pero no debería tener que confiar en que realmente generen su clave correctamente.
  • El usuario puede querer reutilizar una clave pública existente, por ejemplo, para mantener válidas las firmas antiguas si un certificado existente expiraría, pero se cree que la clave sigue siendo segura. Al usar una CSR, básicamente puede obtener un certificado emitido nuevamente con un nuevo período de validez, usos permitidos (OID), etc. incluso si no actualiza la clave.

Las CSR son las que hacen posible evitar todos estos problemas.

    
respondido por el CBHacking 07.12.2017 - 10:43
fuente
2

Una solicitud de firma de certificado es el precursor de un certificado firmado por CA. Por lo tanto, se necesita un CSR dondequiera que se utilicen certificados emitidos por CA: autenticación de servidor, autenticación de cliente, creación de una CA sub, firma de correos con S / MIME, aplicaciones firmadas ...

    
respondido por el Steffen Ullrich 08.08.2017 - 20:06
fuente

Lea otras preguntas en las etiquetas

¿Cómo identificar si un campo está cifrado? ¿Es peligroso el puerto abierto 25 en el servidor web?