Con la proliferación de CA automatizadas de bajo costo, se puede hacer para mitigar el ataque de alguien que realiza un ataque de phishing para obtener un inicio de sesión en nuestro sistema de correo web, y luego usar un servicio automatizado como RapidSSL para emitir un nuevo certificado para% ¿Co_de% a widgetco.com ?
Estoy seguro de que algunas cejas se levantarían en RapidSSL, si alguien como [email protected] solicitara un certificado. ¿Hay algo que pueda hacer también?
Esto es realmente una cuestión de las políticas de cada CA. La mayoría de ellos requieren una prueba de propiedad de un dominio antes de emitir un certificado. Incluso con las AC baratas, esto generalmente implica verificar si un contacto de WHOIS puede recibir un correo electrónico o hacer entradas en los registros DNS del dominio.
Estoy de acuerdo con AJ en que incluso las AC baratas implican la verificación de correos electrónicos de datos recuperados de una solicitud de WHOIS. Pero este tipo de verificación a menudo tiene muchos agujeros y no asegura criptográficamente la validación. Ese es un atacante que puede espiar / alterar potencialmente el tráfico no cifrado en Internet:
Un atacante que pueda realizar cualquiera de estos ataques debería poder generar un certificado firmado por una CA. Una vez más, estos generalmente no son los tipos de ataques que los niños de script podrían hacer, pero un ISP o un gobierno podrían hacer.
Los proveedores de navegadores y sistemas operativos (Firefox, Chrome, Microsoft ...) incluyen certificados de CA en su "almacén de CA de confianza" predeterminado bajo ciertas condiciones estrictas sobre el funcionamiento de la CA: su Declaración de prácticas de certificación . La premisa es que si una CA se comporta mal, por ej. Al ser demasiado fácil de estafar para emitir certificados falsificados, los proveedores del sistema operativo / navegador eliminarán la CA del almacén de CA de confianza predeterminado. Y los proveedores de navegadores / sistemas operativos lo harán solo si se ajusta a sus propios intereses, un concepto que se expresa mejor en términos financieros.
En realidad, lo único que puede hacer es mantener a su abogado preparado y listo para despedir. Si una CA se comporta mal y emite un certificado falso para su dominio, amenace a la CA y amenace a los proveedores del navegador / sistema operativo, que deben ser, por necesidad, los que garanticen la limpieza de los almacenes de confianza predeterminados. En definitiva, todo es cuestión de la presión del mercado. "El miedo mantendrá a los sistemas locales en línea".
AJ lo entendió bien, hay muy poco que un cliente pueda hacer. La naturaleza de este sistema es interesante, ya que no importa lo que haga el cliente, aún pueden ser víctimas. Ir con una CA de primer nivel (y probablemente pagar más) no lo hace seguro, cualquiera de las otras CA puede emitir un certificado para su dominio.
En cierto sentido, los fabricantes de navegadores son los verdaderos clientes de la CA. Aceptan y utilizan el producto de las AC en forma de certificados firmados. Si una CA se comporta mal o tiene prácticas deficientes que conducen a certificados maliciosos, los fabricantes de navegadores pueden optar por eliminar esa CA de su tienda de confianza. Probablemente sea una llamada difícil porque la eliminación de una CA podría afectar a una gran cantidad de sitios y empresas.
Lea otras preguntas en las etiquetas certificates certificate-authority threat-mitigation dns-domain