Después de que se comprometió el correo electrónico [email protected], encontramos que alguien emitió un
Certificado SSL del dominio validado para nuestro dominio.
Ahora queremos que todos estos certificados sean revocados.
¿Hay alguna forma de encontrar todos los certificados emitidos en nuestro dominio por diferentes proveedores de SSL?
No hay un directorio global de todos los certificados emitidos (X.509 fue diseñado para admitir el Directorio, pero nunca existió en la práctica). Deberás contactar a "todos los CA" y preguntarles amablemente. Básicamente, esto significaría ir a su sitio y usar la función "Perdí mi contraseña" para recuperar el control de su cuenta, si existe. Los detalles varían dependiendo de la CA.
Estrictamente hablando, el número de CA posibles no está limitado. Puede comenzar con la CA raíz utilizada por el sistema operativo o el navegador habitual, pero cada una de estas CA puede haber emitido certificados para las sub-CA que mantienen su propia lista de clientes. Por ejemplo, mi propio certificado de dominio fue emitido por mi registrador, que es una CA intermedia que obtuvo su certificado de otra CA raíz. Por lo tanto, no puede estar seguro de haber detectado y revocado todos los certificados emitidos en su nombre.
Hay algunas circunstancias atenuantes, sin embargo:
Para obtener los certificados falsos, el atacante debe haber pagado por ellos. Esto podría haber involucrado números de tarjetas de crédito robadas, pero cuando el pago se devuelve, la CA lo notará ("¿dónde está mi dinero?") Y puede revocar automáticamente los certificados ofensivos. Por otro lado, si la tarjeta de crédito es genuina, puede apuntar al atacante.
Del mismo modo, dado que el atacante tuvo que pagar de alguna manera, entonces probablemente se concentró en un par de CA, no en un centenar.
Los certificados caducan después de uno o dos años (porque CA quiere que sus clientes sean clientes recurrentes ). Así que todo volverá a estar listo para el 2016.
Muchos sistemas operativos o navegadores no comprueban la revocación de todos modos. Por lo tanto, revocar certificados es bonito pero realmente no resuelve las cosas.
Para resolver parcialmente el problema subyacente, puede usar el encabezado Public-Key-Pins para restringir qué certificados son válidos para su dominio (por lo tanto, un certificado en el medio solo puede usar un certificado robado si se usa en la primera conexión a su sitio).
También puede usar Public-Key-Pins-Report-Only para obtener notificaciones de validación de Pin fallida.
Ambos encabezados se definen en draft-ietf-websec-key-pinning .
Me temo que para calcular realmente si el atacante solicitó más certificados, tendrías que preguntar a todos los CA (sería una gran publicación de blog si realmente siguieras esta ruta).
Lea otras preguntas en las etiquetas public-key-infrastructure tls certificate-authority certificate-revocation