¿Por qué tantos navegadores muestran sitios con certificados revocados?

Navega tus respuestas
5

Todo el mundo parece estar de acuerdo en que es REALMENTE importante proteger las claves privadas para que la Internet encriptada pueda seguir siendo eso (ver por ejemplo en ¿Cómo almacenan las autoridades de certificación sus claves raíz privadas? ). Sin embargo, de acuerdo con www.grc.com y otras fuentes, muchos navegadores, especialmente los móviles, no revisan los sitios en busca de certificados revocados debido a claves comprometidas o cualquier otra razón (consulte enlace ). Incluso la nueva versión móvil de Firefox para iOS no parece comprobar si se revoca el certificado del sitio.

Mi pregunta es muy simple: ¿por qué se tolera esta situación? Parecería ser importante, especialmente con la creciente popularidad de los navegadores móviles que soportan el comercio electrónico ...

    
pregunta Stone True 28.12.2015 - 01:30
fuente

2 respuestas

6

La verificación de la revocación es fácil. Pero decidir qué hacer ante el fracaso no lo es.

En el sitio que has vinculado, Steve Gibson escribe:

  

Gran parte del sistema de revocación de certificados es   mal roto y en realidad no funciona!

Sí.

Y más abajo escribe:

  

Existen soluciones buenas y completas HACER .

Y no creo que sea así. Desafortunadamente él no entra en más detalles.

Según tengo entendido, todo se reduce a la decisión de qué hacer si la verificación de revocación no da una respuesta, sino que se acaba el tiempo de espera.

  • ¿Entonces te equivocas al lado de la precaución y niegas el acceso al sitio ("hard fail")?
  • ¿O se equivoca en el lado de "las redes de pozo están a veces en mal estado" y permite el acceso, tal vez después de un mensaje de clic ("fallo")?

Si realmente hay un ataque contra usted con un certificado revocado, entonces el atacante probablemente controlará la red de todos modos y solo bloqueará la comunicación con el servidor de comprobación de revocación. Este es un defecto conceptual en la comprobación de revocación.

Algunas formas de solucionar el problema con diferentes enfoques son:

  • OCSP debe grapar la extensión
  • certificados de corta duración

Lectura adicional

respondido por el StackzOfZtuff 28.12.2015 - 09:01
fuente
-1

La revocación es verdaderamente atroz. Y, por lo general, lo que sucede es que una actualización del sistema operativo los elimina manualmente del navegador, en lugar de que el navegador los elimine a través de algún tipo de lista de revocación. Creo que en estos días la actualización del navegador también actualiza / elimina los certificados del navegador.

    
respondido por el m2kin2 28.12.2015 - 16:06
fuente

Lea otras preguntas en las etiquetas

¿Paquete malicioso que ataca a los rastreadores de paquetes? ¿Cómo puede CloudFlare guardar su sitio web si el atacante conoce la IP del servidor?