Certificados S / MIME y “fuga de información”

Navega tus respuestas
7

Estoy considerando obtener un certificado S / MIME que verifique mi nombre y dirección de correo electrónico. He estado tratando de determinar qué información "se filtra" si lo hago.

La página de Wikipedia en S / MIME dice :

  

Según la política de la AC, el certificado y todo su contenido pueden publicarse públicamente para referencia y verificación. Esto hace que el nombre y la dirección de correo electrónico estén disponibles para que todos los vean y posiblemente busquen. Otras CA solo publican números de serie y el estado de revocación, que no incluye ninguna información personal.

¿A qué se refiere exactamente esto? CRL's? ¿O significa eso seriamente que algunas CA tienen algún tipo de interfaz pública para buscar certificados emitidos y la información contenida en ellos?

¿Y cómo puedo averiguar cuál es la política de una CA dada? Aprendí sobre Declaraciones de Prácticas de Certificación y Políticas de Certificación y leí las de mi CA elegidas, pero no contienen esta información (o no la encontré).

Mi nombre y dirección de correo electrónico no son información secreta, pero no quiero que se puedan buscar públicamente. Por supuesto, el propio certificado público los contendrá.

Para ser específico, estoy viendo GlobalSign y sus certificados PersonalSign 2. Sí, contacté con su apoyo pero no respondieron (al menos todavía).

    
pregunta lume 07.11.2015 - 22:05
fuente

1 respuesta

1

FWIW, revisé su información de CRL y OCSP y un acuerdo de usuario. Esto es lo que pude determinar.

La UA declara que tiene el derecho de revocar su certificado por cualquier número de razones fuera de su control y también si solicita la revocación. Normalmente, nunca revocarían un certificado sin que el propietario lo preguntara, así que lo más probable es que este sea un evento de baja probabilidad. Si lo revoca, es porque estaba comprometido y luego estará en una lista de revocaciones en algún lugar.

¿Por qué es importante la revocación?

Porque este es el único caso en el que podría pensar en que su certificado tiene algún perfil público.

CRL - Lista de revocación de certificados: contiene una lista de ID de certificados, no el certificado original.

OCSP - protocolo de estado de certificado en línea - permite consultas en tiempo real para el estado actual del certificado. Sin embargo, necesita el ID de certificado para realizar la consulta.

En ninguno de estos casos, alguien puede obtener toda la información incluida en el certificado. Por lo tanto, no se muestra la dirección de correo electrónico a través de estos.

Además, parece que tienen un producto empresarial para el cual una empresa puede ejecutar su propia sub-CA, para los empleados. No estudié este producto, sin embargo, es posible que contenga una base de datos "pública" de certificados. Ya que es el equivalente de una guía telefónica interna para los empleados, no me sorprendería.

Aunque es posible que desee continuar cuestionando sus políticas con respecto a la publicación de certificados en general, no pude encontrar nada que se pareciera a lo que menciona en su pregunta. La publicación de certificados emitidos es una práctica inusual para cualquier Autoridad de Certificación.

Yo diría que este es uno de esos casos en los que Wikipedia puede tener información engañosa.

    
respondido por el Andrew Philips 21.11.2015 - 12:03
fuente

Lea otras preguntas en las etiquetas

¿El uso de HttpServletRequest.getQueryString () para un encabezado de respuesta es vulnerable a la división de respuestas? ¿Cómo compilar el exploit java_atomicreferencearray (CVE-2012-0507) para ejecutar calc.exe en el sistema?