¿Qué amenazas y mitigaciones existen para una CA al procesar un CSR?

Navega tus respuestas
0

Pregunta

¿Qué tipo de ataques / ataques técnicos debo buscar en una solicitud de certificado (CSR)?

Suponga que el analizador ASN1 está seguro en la CA . Me preocupa estrictamente el proceso de validación de los datos de la CSR.

Más información

Supongamos que la CA recibe la siguiente CSR 

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

La CA eliminará los encabezados y pies de página de "inicio / finalización" y analizará los datos. Los seres humanos pueden lograr un efecto similar aquí .

Como puede ver, hay un conjunto de OID que tienen los valores correspondientes de printable string .

Mi objetivo es evitar la escalada de privilegios o los ataques de suplantación de identidad que podrían surgir con un CSR con formato incorrecto.

    
pregunta random65537 09.02.2017 - 16:46
fuente

1 respuesta

0

Por lo general, los CA no usan la CSR provista originalmente y solo la firman. En su lugar, extraen y verifican solo la información que desean incluir en el certificado del CSR (es decir, clave pública, asunto ...), agregan información adicional como caducidad, punto de distribución de CRL, URL de OCSP, etc. luego firman este CSR de nueva creación. De esta manera, la CA no necesita lidiar con OID o algo similar que no entienda, ya que esta información no se incluye en el certificado generado de todos modos. Solo necesita comprender y verificar las partes que incluirá del CSR original, es decir, solo algunas partes. Y estas partes generalmente tienen una sintaxis bien conocida que se puede aplicar, por ejemplo, un nombre de dominio.

    
respondido por el Steffen Ullrich 09.02.2017 - 17:54
fuente

Lea otras preguntas en las etiquetas

¿Es posible ejecutar XSS reflejado si devuelve JSON desde la solicitud XHR? ¿Cómo saber qué IP se está DDoSed?