¿Cómo garantiza CA que una solicitud de certificado proviene de mí?

Navega tus respuestas
11

Para establecer una conexión SSL de confianza, necesito crear una solicitud de certificado. Por ejemplo, si uso openSSL puedo hacerlo mediante el siguiente comando: 

openssl req -new -key privkey.pem -out cert.csr

Cualquiera puede hacerlo. ¿Me pregunto cómo CA se asegura de que una solicitud de certificado venga de mí? Tal vez alguien más cree una solicitud de certificado en mi nombre. Tal vez mi correo a CA fue hackeado y se reemplazó una solicitud de certificado. ¿Puedo firmar mi solicitud de certificado y enviar mi clave pública de firma a CA (por ejemplo, en el correo separado)? En este caso, es posible garantizar que venga una solicitud de certificado de mi parte.

    
pregunta Michael 01.06.2013 - 03:35
fuente

1 respuesta

9

Las diferentes CA tienen diferentes métodos, y cada CA tiene diferentes métodos según el nivel de confianza que está pagando. (como la Validación ampliada para obtener la barra de direcciones verde)

Las pequeñas CA de vuelo nocturno tienen una verificación de nivel base en la que solo les da una dirección de correo electrónico y le envían un correo electrónico allí, validando así que realmente posee la dirección de correo electrónico asociada con el certificado. Por lo general, estos cuestan entre $ 15 y $ 30 y se promueven como verificación instantánea.

La validación de CA estándar implica proporcionar un número de teléfono para al menos un contacto en su empresa. La CA primero busca el número de teléfono para verificar que pertenece a la compañía en la que está registrado el certificado, luego verifica llamando y haciendo que el contacto conteste el teléfono y acepte que conozcan esta solicitud de certificado.

Las verificaciones de nivel superior implican el envío por fax de documentos de la empresa (licencia comercial, registro, etc.)

... para no abreviar, depende de qué tipo de confianza pagas y de qué compañía te está molestando.

    
respondido por el Rod MacPherson 01.06.2013 - 05:05
fuente

Lea otras preguntas en las etiquetas

¿El inicio de sesión de los dígitos de Twitter (sms auth code) es inseguro? ¿Cuáles son algunas buenas maneras de verificar la identidad del usuario para restablecer la contraseña?