¿Dónde están los certificados SSL de validación de dominio anónimo / privado?

8

Todavía tengo que encontrar una CA que no requiera información personal para los certificados DV. ¿Esto se debe a que todos los principales navegadores y sistemas operativos tienen una política para rechazar las CA que no requieren información personal? ¿O hay alguna otra razón por la falta de CAs amigables con la privacidad?

Me gustaría reemplazar el certificado SSL autofirmado de mi servidor web personal con un certificado firmado por una autoridad de certificación de confianza. Entiendo que algunos casos de uso requieren investigaciones exhaustivas de identidad, pero solo necesito un certificado de validación de dominio (DV) básico. No quiero compartir información personal que sea irrelevante para proporcionar un cifrado de extremo a extremo para uso personal (por ejemplo, la dirección de mi casa y el número de teléfono).

no estoy buscando una CA que confíe ciegamente en una reclamación de propiedad de un dominio; quiero que tengan prácticas de validación de dominio sólidas. Solo estoy buscando una CA que no requiera información más allá de prueba de propiedad del dominio.

¿Por qué deberían importarme mi nombre o el lugar donde vivo mientras pueda demostrar que soy el propietario?

¿Quieren esta información para que puedan demandarme si hago algo "malo" con el certificado que emiten? ¿El gobierno los obliga a recopilar esta información con fines policiales o de inteligencia extranjera?

    
pregunta Richard Hansen 06.10.2014 - 00:53
fuente

2 respuestas

3

Si bien no parece haber ninguna CA que respete la privacidad en este momento, todas las pruebas sugieren que anunciado recientemente Let's Encrypt CA (lanzamiento en el verano de 2015) no requerirá que los usuarios proporcionen información personal. Esto podría cambiar, pero dudo que se le dé Participación de EFF .

Si Let's Encrypt no recopilará ninguna información personal cuando se inicie, eso sugiere que las CA existentes no requieren fundamentalmente su información personal, y que la solicitan simplemente porque pueden hacerlo.

    
respondido por el Richard Hansen 20.11.2014 - 00:40
fuente
1

La respuesta corta es no, la Evidencia de Identidad (EOI) no es obligatoria, ni obligada por los gobiernos (al menos que yo sepa) o los estándares de Internet.

Sin embargo, considere que el producto de CA es confianza. La gente confía en que una CA solo emita certificados a los propietarios legales de sitios de confianza. EOI forma parte de la cadena de confianza. Una CA puede rediseñar los procesos de emisión de certificados para satisfacer sus necesidades particulares, pero la verdad es que a la mayoría de las personas que requieren certificados SSL no les importa, especialmente porque el propietario ya está identificado en el registro de whois.

Por cierto, el estándar relevante aquí es RFC 3647, que cubre la Política de Certificación y la Declaración de Práctica del Certificado. Si bien este RFC contiene muchos detalles sobre el contenido de estas políticas y los documentos de respaldo, no establece niveles mínimos de identificación en el proceso de emisión.

    
respondido por el DodgyG33za 10.10.2014 - 01:47
fuente

Lea otras preguntas en las etiquetas