Uso de certificados de cliente emitidos por una CA de terceros

Navega tus respuestas
0

Tengo un sitio que está protegido con un nombre de usuario / contraseña de inicio de sesión. Para los usuarios que desean ingresar a un área determinada del sitio, existe un código (heredado) que busca un certificado de cliente y si el correo electrónico en el certificado coincide con el correo electrónico asociado con el inicio de sesión, entonces pueden acceder a esta sección protegida (extra) .

Algunas preguntas sobre ese enfoque:

  1. ¿Podemos continuar aceptando certificados siempre y cuando sean de una confianza?
  2. ¿Qué impide que el malware robe el certificado de cliente de la máquina de un usuario y lo coloque en otra máquina comprometida y la use desde allí?
  3. La forma en que se encuentra ahora, siempre que el certificado provenga de un estándar del sistema o una CA comúnmente aceptada, se acepta. ¿Deberíamos cambiar la lógica para emitir los certificados de cliente nosotros mismos, agregar nuestra propia CA a la lista de CA confiables y solo aceptar certificados firmados por nuestra CA? Sin embargo, no queremos hacerlo, ya que no se puede escalar para admitir la cantidad de usuarios.
  4. ¿Sería mejor dar un certificado de firma a la empresa matriz de los usuarios y permitirles emitir certificados de cliente? Entonces solo confiaríamos en certificados del firm firm (o de nuestra propia CA, que estaría en el árbol de confianza).

Estoy pidiendo mucho aquí, lo sé. Si es necesario, puedo refinar la pregunta con alguna orientación.

    
pregunta slolife 25.02.2016 - 22:43
fuente

2 respuestas

2

El uso de certificados de cliente que usted no emite representa una amenaza.

Cualquier persona que conozca el correo electrónico de uno de sus usuarios y pueda encontrar una CA en su lista de confianza que no sea muy estricta con la verificación del usuario, puede obtener un certificado falsificado con este correo electrónico. Luego pueden acceder a la sección privada.

La administración de su propia PKI es complicada, pero puede resolver este problema.

Dar un certificado de firma es una carga para la empresa del cliente, lo que podría o no ser una buena idea dependiendo de su experiencia y capacidad de confianza para operar la PKI en serio.

Al final, la respuesta siempre es "depende". Tiene que comprometerse entre los riesgos y los costos de lidiar con los riesgos.

    
respondido por el M'vy 26.02.2016 - 09:52
fuente
1

1) Depende. ¿Cómo está validando la CA el usuario? ¿Y confías en ese proceso?

2) Nada. Debes asumir que el malware compromete completamente a ese usuario.

3) Depende de usted si desea esa responsabilidad.

4) Si confía en la empresa matriz para validar a los usuarios y emitir certificados de forma adecuada, seguro.

    
respondido por el d1str0 25.02.2016 - 22:50
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo probar mi filtro de spam en condiciones reales? Uso de PGP en correos electrónicos: ¿hay que buscar la clave?