¿Qué tan práctico es la propiedad de "restricción básica" de un certificado para proteger mi sesión HTTPS / SSL?

6

Supongamos que un nodo hoja crea un certificado para un dominio diferente, que actúa como CA.

¿Los marcos más populares o las herramientas de validación de la cadena SSL verifican las restricciones? ¿Debo preocuparme y eliminarlo de mi entorno de producción?

¿Debo preocuparme por la emisión de certificados de CA sin restricciones básicas?

¿Cómo puedo proteger mi sitio web (como operador de servidor) y mi sesión de navegación web (como consumidor) de certificados generados por nodos hoja o CAs configuradas incorrectamente?

    
pregunta random65537 01.10.2011 - 01:50
fuente

2 respuestas

5

Hasta hace unos años (algo como 2003 o 2004, si recuerdo bien), Internet Explorer no estaba verificando la extensión de "Restricciones básicas". Cuando se descubrió esto, Microsoft publicó rápidamente un parche.

En general, todos los validadores existentes verifican correctamente la extensión "Restricciones básicas". Internet Explorer fue realmente el peor estudiante de la clase en ese asunto. Se llama "básico" por una razón: es la extensión X.509 más sencilla de manejar.

Usted se protege contra una CA mal configurada al dejar de confiar en los anclajes de confianza relevantes y al enviar abogados para castigar este mal comportamiento.

    
respondido por el Thomas Pornin 01.10.2011 - 03:38
fuente
2

Moxie Marlinspike hizo mucha investigación sobre SSL. Presentó algunos de ellos hace años, entre los que se incluye un resumen de los navegadores que ignoran las restricciones básicas. Parece que se ha corregido ahora en la mayoría de las implementaciones de SSL.

Sin embargo, enlace es un muy buen reloj si quieres saber más sobre las vulnerabilidades de SSL: -)

    
respondido por el chris 01.10.2011 - 13:51
fuente

Lea otras preguntas en las etiquetas