Riesgo al comprar un certificado SSL de una parte desconocida

7

Digamos que sé que un tipo está vendiendo un certificado SSL a un precio muy bajo, asumiendo que generará un certificado real y válido para mí, ya que necesito enviarles mi CSR y ellos pasan a la AC, ¿están ahí? ¿Hay riesgos relacionados con la compra de certificados técnicamente?

La segunda pregunta es: dado un certificado, ¿hay algún método que pueda saber con quién se compró el certificado? (Además de preguntar a la CA)

Actualización: me refiero a que el revendedor está vendiendo SSL (Comodo Positive SSL) a un precio muy barato, por ejemplo. 10-20% más que un revendedor como namecheap, pero necesito enviar CSR y comprarles en lugar de Comodo, así que necesito saber el riesgo.

    
pregunta Ryan 20.04.2014 - 09:41
fuente

3 respuestas

10

No hay riesgo de comprometer la clave privada, ya que solo envía la CSR que contiene la clave pública, pero no la privada. Pero el uso de una CA es en efecto una delegación de confianza, ya que la gente confía en su certificado porque ellos (o el navegador) confían en la CA que firmó el certificado. Una vez que noten que la CA ya no es confiable (como DigiNotar después de que fue pirateada en 2011) eliminarán el confía y, por lo tanto, tampoco confiarán en ningún certificado emitido por la CA, lo que le afecta directamente.

Si se confía en la CA, pero el revendedor es barato, no me preocuparía demasiado. El revendedor a menudo obtiene un gran reembolso de la AC y, por lo tanto, puede ofrecer precios baratos si sus otros costos (como el marketing) son pequeños.

Debería verificar mejor si el vendedor tiene altos costos por servicios que no necesita en este momento, pero que podría necesitar más tarde, como la renovación o revocación de certificados. Esto se conoce como buy-in , y debe estar atento a esta táctica en casi todos los lugares donde compre.

    
respondido por el Steffen Ullrich 20.04.2014 - 11:05
fuente
6

El riesgo de usar una CA de aspecto peligroso no está en el proceso de inscripción del certificado: siempre que genere el par de claves y envíe solo la solicitud de certificado a la CA (que contiene solo la clave pública) y reciba la información en bruto. certificado a cambio (no un archivo PKCS # 12 / PFX), entonces su clave privada es solo suya y suya.

Sin embargo, el riesgo está en confiar . Para que su certificado sea útil, quien sea que lo muestre (por ejemplo, el navegador web del cliente) tendrá que confiar en la CA; de lo contrario, su certificado no le servirá de nada. Si confían en la CA, confían en los certificados que CA pueda producir. Técnicamente ese no es tu problema, sino el problema de los clientes; sin embargo, si la CA parece realmente barata, por asociación, también usted se verá realmente barata. Puede que esta no sea la imagen que desea proyectar.

Un cliente puede saber fácilmente la procedencia de cualquier certificado al pedirle a su navegador que muestre la "cadena de certificados" (simplemente haga clic en el "icono de candado").

    
respondido por el Thomas Pornin 20.04.2014 - 13:40
fuente
1

Cosas que debe saber sobre los revendedores.

  1. Es una práctica bastante común que las AC vendan sus certificados de menor costo a través de revendedores a precios bajos, pero venden los mismos a precios mucho más altos en su propio sitio web. Este hecho en sí mismo no es motivo de preocupación.

    Cuando hacen una venta a través de un revendedor, el costo para ellos se reduce. Además, dependen de su red de distribuidores para promocionar su producto.

  2. Los revendedores manejan la facturación y los aspectos de soporte, pero no tienen acceso a las claves privadas de la raíz de CA y no puede generar certificados en sus propias máquinas. Los certificados aún se generan en las máquinas de la AC, de acuerdo con sus propios procedimientos de seguridad y manejo de información, y aún deben cumplir con los requisitos de sus para probar la identidad, etc. De hecho, el revendedor no tiene realmente mucho control sobre cualquier aspecto de la seguridad y se lo entrega todo a la CA.

    Por lo tanto, la calidad y la seguridad del producto final que reciba será la misma que si hubiera comprado directamente de la CA.

Cosas que debe tener en cuenta al comprar de una compañía desconocida

  1. ¿Proporcionan una asistencia al cliente decente? La CA cuyo producto están revendiendo probablemente no le proporcionará soporte directamente; eso es manejado en la mayoría de los casos por el revendedor.

  2. Si necesita revocar un certificado, ¿cobran por ese servicio? ¿Es un alto costo?

    El costo de la renovación no es tanto un problema en la mayoría de los casos porque usted es libre de simplemente renovar con otra persona si así lo desea. No hay ningún sistema que le impida obtener un certificado para el mismo dominio de un proveedor diferente.

respondido por el thomasrutter 26.02.2016 - 06:42
fuente

Lea otras preguntas en las etiquetas