Transparencia del certificado: debe enviarse el certificado a ct-logs si ya se ha enviado el certificado previo

11

Si se genera un pre-certificado y se envía a los registros de transparencia del certificado, el certificado final puede incluir recibos de la SCT.

Por lo tanto, no es necesario enviar el certificado final a ct-logs para que sea válido en los navegadores donde ct es obligatorio.

Ventajas:

  • da una confirmación pública de que el certificado fue efectivamente emitido (y no solo el pre-certificado)

Inconvenientes:

  • duplica el tamaño del registro ct

Mi pregunta es, ¿existe alguna otra ventaja o inconveniente para enviar el certificado final? ¿O algún requisito para hacerlo? ¿O algún consejo en contra?

Enlace: enlace

    
pregunta Tom 30.03.2018 - 20:29
fuente

2 respuestas

-2

Después de más pensamientos, mi conclusión es:

Inconvenientes:

  • duplica el tamaño del registro ct

Ventajas:

Como el único inconveniente es para el operador del registro, y se compensa en gran medida con la protección contra el envío masivo, parece que el registro de ambos certificados debería ser una buena práctica.

Cifre la discusión: No registro de certificados finales

    
respondido por el Tom 02.04.2018 - 18:06
fuente
1
  

da la confirmación pública de que el certificado   fue efectivamente emitido (y no solo el pre-certificado)

Para citar RFC6962bis ( draft-ietf-trans-rfc6962-bis -28 ), sección 3.2:

"signature" MUST be from the same (root or intermediate) CA that will ultimately issue the certificate. This signature indicates the CA's intent to issue the certificate. This intent is considered binding (i.e., misissuance of the precertificate is considered equivalent to misissuance of the corresponding certificate).

Esencialmente, lo que eso significa es que si un precertificado en un registro de CT está presente, entonces, en cualquier sentido relacionado con la transparencia del certificado, el certificado final fue, de hecho, emitido.

Otros detalles operativos (por ejemplo, si el certificado se emitió en ese momento, si el certificado emitido se envió al cliente o no, si el cliente recibió el certificado, si lo implementó, etc.) queda fuera del alcance del marco de transparencia del certificado. .

(También se entiende, creo, que en caso de que el certificado se haya emitido realmente, y no solo se haya emitido, sino que se haya obtenido por el cliente de la autoridad certificadora, el cliente: por lo general, se lo denomina "operador de servidor" en los documentos relacionados con CT - pueden enviar el certificado final si tienen una política de este tipo.)

Por lo tanto, no quedan ventajas. Sin embargo, el inconveniente que ha mencionado aún persiste. Por lo tanto, la puntuación final es 0: 1 contra el envío de certificados finales.

    
respondido por el ximaera 31.03.2018 - 00:58
fuente

Lea otras preguntas en las etiquetas