¿Cuáles son las razones por las cuales los certificados TLS no se emiten o revocan?

0

Tengo curiosidad por saber qué umbral se usa para que las CA emitan / denieguen la emisión / revoquen los certificados TLS.

Según tengo entendido, son esencialmente garantías de identidad , por lo que si JunkCorp no puede demostrar que son quienes dicen ser, entonces no obtendrán un certificado. O si el sitio web de JunkCorp es pirateado, tal vez su certificado sea revocado.

¿Hay otros aspectos que se tienen en cuenta? (actividades ilegales / maliciosas)

    
pregunta Jason S 07.09.2017 - 21:00
fuente

1 respuesta

1

Si bien cada CA tiene sus propias políticas y procedimientos que siguen con respecto a cuándo emitir y revocar certificados, es un conjunto común de Requisitos de línea de base que deben cumplir todas las Autoridades de Certificación de confianza pública (por parte de los proveedores del navegador).

Los requisitos de referencia especifican la siguiente lista de condiciones bajo las cuales un CA debe revocar un certificado:

  

4.9.1.1. Razones para revocar un certificado de suscriptor

     

La CA DEBE revocar un certificado dentro de las 24 horas si uno o más de   ocurre lo siguiente:

     
  1. El Suscriptor solicita por escrito que la CA revoque el Certificado;
  2.   
  3. El suscriptor notifica a la CA que la solicitud de certificado original no fue autorizada y no otorga retroactivamente   autorización;
  4.   
  5. La CA obtiene evidencia de que la clave privada del suscriptor correspondiente a la clave pública en el certificado sufrió una clave   Compromiso o ya no cumple con los requisitos de las Secciones   6.1.5 y 6.1.6;
  6.   
  7. La CA obtiene evidencia de que el certificado fue mal utilizado;
  8.   
  9. La CA tiene conocimiento de que un Suscriptor ha violado una o más de sus obligaciones importantes en virtud del Acuerdo del Suscriptor o los Términos de   Utilizar;
  10.   
  11. La CA tiene conocimiento de cualquier circunstancia que indique que el uso de un Nombre de dominio totalmente calificado o una dirección IP en el Certificado es no   más tiempo permitido legalmente (por ejemplo, un tribunal o un árbitro ha revocado un   El derecho del Registrador de Nombre de Dominio a usar el Nombre de Dominio, un   Contrato de licencia o servicios entre el Registrador de Nombres de Dominio y   el solicitante ha finalizado, o el registrante de nombres de dominio ha fallado   para renovar el Nombre de Dominio);
  12.   
  13. La CA tiene conocimiento de que se ha utilizado un certificado comodín para autenticar a un subordinado engañoso totalmente calificado.   Nombre de dominio;
  14.   
  15. La CA tiene conocimiento de un cambio importante en la información contenida en el Certificado;
  16.   
  17. La CA tiene conocimiento de que el Certificado no se emitió de acuerdo con estos Requisitos o la Política de Certificación de la CA o   Declaración de práctica de certificación;
  18.   
  19. La CA determina que la información que aparece en el Certificado es inexacta o engañosa;
  20.   
  21. La CA deja de operar por cualquier motivo y no ha hecho arreglos para que otra CA brinde soporte de revocación para el   Certificado;
  22.   
  23. El derecho de la CA a emitir Certificados bajo estos Requisitos expira o se revoca o termina, a menos que la CA haya hecho   arreglos para continuar manteniendo el depósito de CRL / OCSP;
  24.   
  25. La CA tiene conocimiento de un posible compromiso de la clave privada de la CA subordinada utilizada para emitir el certificado;
  26.   
  27. La revocación es requerida por la Política de Certificación de CA y / o la Declaración de Práctica de Certificación; o
  28.   
  29. El contenido técnico o el formato del certificado presenta un riesgo inaceptable para los proveedores de software de aplicación o las partes que confían   (por ejemplo, el foro CA / Browser podría determinar que una   El algoritmo criptográfico / de firma o el tamaño de la clave presenta un aspecto inaceptable   riesgo y que dichos Certificados deben ser revocados y reemplazados por las AC   dentro de un período de tiempo determinado).
  30.   

Fuente: Versión 1.4.9 de la línea de base de CAB Requisitos .

Tenga en cuenta que estos requisitos solo indican cuándo un CA debe revocar un certificado. No restringen la revocación de certificados por parte de las CA por razones que no están en esta lista. Las CA individuales pueden tener sus propias políticas que especifican otras condiciones bajo las cuales pueden revocar un certificado.

En cuanto a cuándo una CA se negará a emitir un certificado, esa pregunta es mucho más complicada de responder. La razón principal por la que se requeriría que una CA se niegue a emitir un certificado sería cuando la persona u organización que solicita el certificado no puede demostrar que es quien dice ser. Los detalles de qué tipo de pruebas de identidad se requieren, y otras condiciones bajo las cuales una CA debe negarse a emitir un certificado, de nuevo, se especifican en los Requisitos de referencia.

Por lo que yo sé, los Requisitos de Línea de Base no requieren que las AC supervisen si las personas u organizaciones a las que emiten certificados los están utilizando para actividades ilegales. La aplicación de la ley no está dentro del alcance de las responsabilidades de una AC.

    
respondido por el Ajedi32 07.09.2017 - 22:02
fuente

Lea otras preguntas en las etiquetas