Transparencia del certificado: debe enviarse el certificado a ct-logs si ya se ha enviado el certificado previo

Question

Transparencia del certificado: debe enviarse el certificado a ct-logs si ya se ha enviado el certificado previo

#1 de ximaera (1 votos)
#2 de Tom (-2 votos)

11

Si se genera un pre-certificado y se envía a los registros de transparencia del certificado, el certificado final puede incluir recibos de la SCT.

Por lo tanto, no es necesario enviar el certificado final a ct-logs para que sea válido en los navegadores donde ct es obligatorio.

Ventajas:

da una confirmación pública de que el certificado fue efectivamente emitido (y no solo el pre-certificado)

Inconvenientes:

duplica el tamaño del registro ct

Mi pregunta es, ¿existe alguna otra ventaja o inconveniente para enviar el certificado final? ¿O algún requisito para hacerlo? ¿O algún consejo en contra?

Enlace: enlace

certificate-transparency

pregunta Tom 30.03.2018 - 20:29

fuente

2 respuestas

1

da la confirmación pública de que el certificado fue efectivamente emitido (y no solo el pre-certificado)

Para citar RFC6962bis ( draft-ietf-trans-rfc6962-bis -28 ), sección 3.2:

"signature" MUST be from the same (root or intermediate) CA that will ultimately issue the certificate. This signature indicates the CA's intent to issue the certificate. This intent is considered binding (i.e., misissuance of the precertificate is considered equivalent to misissuance of the corresponding certificate).

Esencialmente, lo que eso significa es que si un precertificado en un registro de CT está presente, entonces, en cualquier sentido relacionado con la transparencia del certificado, el certificado final fue, de hecho, emitido.

Otros detalles operativos (por ejemplo, si el certificado se emitió en ese momento, si el certificado emitido se envió al cliente o no, si el cliente recibió el certificado, si lo implementó, etc.) queda fuera del alcance del marco de transparencia del certificado. .

(También se entiende, creo, que en caso de que el certificado se haya emitido realmente, y no solo se haya emitido, sino que se haya obtenido por el cliente de la autoridad certificadora, el cliente: por lo general, se lo denomina "operador de servidor" en los documentos relacionados con CT - pueden enviar el certificado final si tienen una política de este tipo.)

Por lo tanto, no quedan ventajas. Sin embargo, el inconveniente que ha mencionado aún persiste. Por lo tanto, la puntuación final es 0: 1 contra el envío de certificados finales.

respondido por el ximaera 31.03.2018 - 00:58

fuente

Lea otras preguntas en las etiquetas certificate-transparency

¿Es ilegal DDoS una página de phishing? [cerrado] Yubikey con KeePass usando desafío-respuesta vs OATH-HOTP

score -2 · Accepted Answer

Después de más pensamientos, mi conclusión es:

Inconvenientes:

duplica el tamaño del registro ct

Ventajas:

da una confirmación pública de que el certificado fue efectivamente emitido (y no solo el pre-certificado)
evita el envío masivo a ct-logs, lo que podría causar un retraso de fusión (una razón para la descalificación del registro) Política de registro de transparencia del certificado
permite detectar errores de emisión (como codificación SCT incorrecta) Misión cumplida ? Seguridad HTTPS después de DigiNotar
puede ayudar solicitar una revocación (si recibe una alerta porque un ct-log tiene un certificado previo que no solicitó, revocar el certificado real es más fácil tenerlo) Cómo revocar un certificado que no emití

Como el único inconveniente es para el operador del registro, y se compensa en gran medida con la protección contra el envío masivo, parece que el registro de ambos certificados debería ser una buena práctica.

Cifre la discusión: No registro de certificados finales