¿Cómo se asegura la Autoridad de Certificación que la CSR proviene del servidor correcto?

-1

Mi comprensión de la Solicitud de firma de certificado (CSR) es que contiene la clave pública y los detalles del servidor solicitante. La CSR también está firmada por el servidor utilizando su clave privada para que la CA pueda verificar que el propietario de la clave privada realmente envió la solicitud. ¿Cómo verifica la CA que la solicitud de certificado proviene del servidor correcto? Nadie puede generar un par de clave pública / clave privada y enviar un CSR.

    
pregunta Newstein 16.11.2017 - 10:02
fuente

1 respuesta

2

Respuesta corta: está en la CSR.

Respuesta más larga:

Cuando genera una CSR a partir de un par de claves, proporciona a la CA información sobre qué propiedades debe tener el certificado (para qué dominio (s) / nombres, etc.).

Hay diferentes maneras en que las entidades de certificación pueden verificar que la CSR en realidad proviene del propietario legítimo de los dominios para los cuales está la CSR. Las CA diferentes usan diferentes métodos y, para certicifatos regulares (sin OV / no EV), esto generalmente se reduce para mostrar que usted tiene control sobre el dominio (s) por ejemplo

  • enviar un correo electrónico a una dirección de correo electrónico generalmente reservada como hostmaster @ domain con un secreto de corta duración que debe ser devuelto a la CA,
  • solicitando que el usuario genere una entrada de desafío específica en DNS,
  • solicitar un archivo de desafío específico de un directorio conocido del puerto 80 del dominio (s) en pregunta.

Sin embargo, hay problemas que surgen de este tipo de pruebas, ya que no es completamente concluyente: cuando un atacante es un MitM para la CA, esto puede salir terriblemente mal. Sin embargo, las CA suelen volver a verificar estas cosas utilizando diferentes ISP.

    
respondido por el Tobi Nary 16.11.2017 - 10:13
fuente

Lea otras preguntas en las etiquetas