¿Cuánto podemos confiar en las Autoridades de certificación para emitir y asegurar certificados?

Question

¿Cuánto podemos confiar en las Autoridades de certificación para emitir y asegurar certificados?

#1 de tlng05 (4 votos)
#2 de Steffen Ullrich (1 votos)

-1

Esta es una pregunta general no relacionada con ningún sitio web en particular o una CA (Autoridad de Certificación).

Todos sabemos que HTTPS es un protocolo cifrado, pero que se basa en las CA que emiten certificados digitales a los sitios web con el debido respeto. Ahora, es teóricamente posible que una CA emita un certificado adecuado para un sitio de alojamiento de malware, ¿no es así? En otras palabras, las CA son el eslabón más débil en la cadena de seguridad de HTTPS. Si eso sucede, ¿cuáles son las implicaciones?

Además, también sabemos que los datos que navegamos en Internet pasan a través de varios saltos y nodos (su ISP, el ISP del sitio web, cachés y proxies como CloudFlare, etc.). Supongamos que si alguna de estas entidades entre las dos se hiciera con el certificado de CA del sitio web (claves públicas y privadas), ¿pueden capturar los datos que se transfieren? En caso afirmativo, ¿cuál es una buena alternativa al sistema HTTPS actual?

edit

Hay otro aspecto de preocupación con HTTPS, aunque puede no estar relacionado con ninguna CA. Hoy en día, de vez en cuando obtiene computadoras portátiles y otros dispositivos preinstalados con certificados de navegador inciertos que permiten abrir un sitio de phishing sin ningún tipo de consideración (los modelos de Dell y Lenovo tuvieron estos casos recientemente, no tengo ningún enlace, puedes buscarlos en google). Nuevamente, esto también puede considerarse como una debilidad del sistema HTTPS.

tls http certificate-authority

pregunta Prahlad Yeri 02.08.2016 - 08:23

fuente

2 respuestas

Lea otras preguntas en las etiquetas tls http certificate-authority

Cómo hacer malware no detectable [cerrado] ¿Le está diciendo al usuario que ya ha iniciado sesión mientras se registra como vulnerable?

score 4 · Answer 1

No estoy diciendo que las AC no estén haciendo bien su trabajo, pero es teóricamente es posible que una CA emita un certificado adecuado a un sitio de alojamiento de malware, ¿no es así?

Las CA no son responsables de vigilar el contenido de los sitios a los que emiten certificados. Simplemente no es parte de la descripción de su trabajo. Su responsabilidad es asegurarse de que solo emitan certificados al propietario legítimo de un nombre de dominio, y si ese propietario decide alojar malware, así sea .

Por lo tanto, no debe confiar en la existencia de HTTPS en un sitio como un indicador de legitimidad. Las únicas posibles excepciones a esto son los sitios con certificados de validación extendidos (indicados por el nombre de la compañía que se muestra en la barra de direcciones). Las CA deben verificar que la organización esté legalmente reconocida y tenga presencia física antes de emitir dichos certificados, por lo que es mucho más probable que estos sitios sean legítimos. No obstante, aún es posible que alojen malware, ya sea de forma intencional o accidental.

Además, también sabemos que los datos que navegamos en Internet pasa a través de múltiples saltos y nodos (su ISP en la nube, el sitio web ISP, cachés y proxies como CloudFlare, etc). Supongamos que si alguno de estas entidades en el medio consiguió el certificado de CA sitio web (claves públicas y privadas), pueden capturar los datos siendo transferido? Si es así, ¿cuál es una buena alternativa al presente? Sistema HTTPS?

Si la clave privada se filtra, de hecho, sería posible que cualquier persona que posea la clave privada pueda leer los datos. Idealmente, el propietario del sitio web mantendría la clave privada en su propio servidor web para que no sea posible que los ISP o cualquier otra entidad lo obtengan. Si el propietario del sitio web decide mantener la clave en manos de un proveedor de alojamiento, un proveedor de servidor en la nube, un proveedor proxy, etc., el propietario del sitio web implica que confía en esos proveedores el acceso a los datos.

score 1 · Answer 2

es posible que una CA emita un certificado adecuado a un sitio de alojamiento de malware

HTTPS solo se preocupa por asegurar el transporte. No hace ninguna declaración sobre el servidor o los datos transferidos. ES DECIR. es posible utilizar HTTPS para transferir malware o para transferir información confidencial que luego se ve comprometida porque el servidor fue pirateado.

pasa por varios saltos ... se hizo con el certificado de CA del sitio web

Si alguien en el medio obtiene la clave privada del certificado, se puede hacer un hombre perfecto e indetectable en el ataque central. Es por eso que la clave se llama "privada" o "secreta".

entonces, ¿cuál es una buena alternativa al sistema HTTPS actual?

No hay alternativas actuales que tengan al menos la seguridad de HTTPS y no confíen en datos privados / secretos. Si estos datos se ponen en peligro (lo que se supone que se puede hacer), es posible que haya un intermediario, como ocurre con los HTTPS normales.