Comprobación de revocación del certificado del sitio web - ¿Gran cosa? [duplicar]

Navega tus respuestas
7

Cuando estaba a punto de realizar el pago de mi boleto de avión, noté algo extraño con el certificado SSL del sitio web de British Airways . ¡Mi navegador (Google Chrome) no pudo verificar si el certificado ha sido revocado o no! Aquí está el mensaje exacto:

El mensaje de Google Chrome dice:

  

La identidad de este sitio web ha sido verificada por GlobalSign Extended Validation CA - SHA256 - G2 pero no tiene registros de auditoría pública.

     

No se puede verificar si el certificado ha sido revocado.

Verifiqué la información de certificación y parece que no hay otro problema con el certificado en sí. Cosas que me gustaría saber:

  • ¿Es seguro continuar con el proceso sabiendo que su ¿El navegador no puede verificar la revocación del certificado?

  • ¿Cómo puede confirmar exactamente si un certificado en particular ha sido revocado o no?

pregunta Rahil Arora 10.10.2014 - 02:34
fuente

2 respuestas

13

La revocación es el único método por el cual una autoridad de certificación puede propagar la información de que una clave privada ha sido comprometida. Es, de hecho, un sistema de contención de daños: en el desafortunado caso de que una clave privada sea robada, el sistema de revocación se asegurará de que nadie confíe en el certificado correspondiente más de una semana después de que el robo sea observado e informado. Si un cliente no comprueba el estado de revocación o lo pasa por alto (como usted propone), este retraso de "una semana" se extiende hasta la fecha de vencimiento del certificado, que puede ser de años.

Por definición, el hecho de no verificar la revocación (o ignorar el hecho de no verificarla) debilita el sistema, por lo que no se puede decir que sea "seguro". Pero tal vez no sea del todo arriesgado. En la práctica, los riesgos de conectarse a un sitio web falso son bajos, ya que los números de tarjetas de crédito robadas no valen mucho, y administrar un sitio web falso que emule con éxito un sistema real de reservaciones de aerolíneas es mucho trabajo; los hackers que podrían robar la clave privada probablemente no harían eso. Pero esa es tu decisión, no la mía.

Si su navegador no pudo determinar el estado de revocación, es probable que usted tampoco pueda hacerlo. Sin embargo, puede ser interesante saber qué ha sucedido exactamente. Normalmente, cada certificado en la cadena contiene una URL a la ubicación de la CRL relevante (en una extensión CRL Distribution Points ). Tal vez algunos de estos sitios web son actualmente inaccesibles; tal vez las CRL que alojan estén desactualizadas, lo que revela una falla técnica en el lado de CA.

(Desde mi máquina, en este momento, el certificado de British Airways se ve bien, incluido el estado de revocación, por lo que es probable que el problema sea temporal).

    
respondido por el Thomas Pornin 10.10.2014 - 02:54
fuente
1

No es infrecuente que la verificación de la revocación falle debido a que el servicio de revocación de la AC no está disponible, o está demorando en la publicación de una CRL. Así que probablemente estés bien.

Una verificación de revocación puede ser a un archivo de CRL que es publicado periódicamente por la CA (por ejemplo, cada 8 horas) que tiene un período de validez o utilizando un punto final del Protocolo de estado de certificado en línea (OCSP). Los certificados que han caducado no aparecerán en una CRL.

Todos los navegadores populares admiten OCSP, aunque Chrome lo tiene desactivado de manera predeterminada debido a los problemas de latencia percibidos (consulte Wikipedia OCSP entry ).

La manera en que los navegadores manejan las verificaciones de revocación es complicada. Netcraft tiene un excelente artículo sobre cómo los navegadores modifican todo el proceso de comprobación de revocaciones para acelerar la experiencia de navegación, aunque es posible que las cosas hayan cambiado desde que se escribieron hace más de 12 meses.

    
respondido por el DodgyG33za 10.10.2014 - 03:27
fuente

Lea otras preguntas en las etiquetas

¿Cómo convertirse en una entidad de certificación (CA) reconocida internacionalmente? ¿Cómo mantiene Windows / IIS un certificado protegido o nunca debería ejecutar el servidor web Apache en un servidor Windows?