Preguntas con etiqueta 'certificate-revocation'

4
respuestas

¿Debo revocar si ya no uso los certificados de Let's Encrypt antes de destruirlos?

La documentación de Let's Encrypt recomienda que cuando la clave privada correspondiente de un certificado ya no sea segura, debería revocar el certificado . ¿Pero debería hacer lo mismo si no hay indicaciones de que la clave esté comprometi...
hecha 03.08.2017 - 12:23
3
respuestas

¿La publicación de CRL a través de HTTP es una vulnerabilidad potencial?

Noté que al menos una CA principal (Comodo) publica su CRL a través de HTTP en lugar de HTTPS. Esto me parece una vulnerabilidad, ya que un atacante podría secuestrar la conexión HTTP que busca descargar la CRL y cuando HSTS está en uso al...
hecha 08.11.2014 - 18:00
5
respuestas

¿Por qué los certificados están limitados en el tiempo?

Si un certificado tiene una duración limitada de, digamos, 5 años, pero se compromete de alguna manera después de 2 años, esperar los 3 años restantes para que se vuelva inválido no es una solución real al problema de la violación. (3 años es et...
hecha 15.05.2014 - 10:18
4
respuestas

¿Por qué no se requiere OCSP de forma predeterminada en los navegadores?

De acuerdo con la siguiente captura de pantalla, tomada de firefox-3.6.17-1.fc14.i686, Firefox tiene una opción para cerrar cuando no se puede conectar a los servidores de OCSP. ¿Puede alguien explicar por qué esto no está habilitado de...
hecha 23.05.2011 - 10:53
3
respuestas

Caducidad del nombre de dominio y TLS

Si compro un nombre de dominio que ha caducado, ¿tengo alguna garantía de que el propietario anterior no tenga un certificado HTTPS válido para el sitio? En otras palabras, ¿las CA verifican las fechas de vencimiento del nombre de dominio cuando...
hecha 23.07.2012 - 22:57
2
respuestas

¿Qué hace realmente "revocar" una clave?

Actualmente estoy cifrando cierta información personal usando gpg ( gpgdir en realidad). Tengo una copia de mi clave privada impresa en una hoja de papel en forma de una matriz de datos para que no pierda la copia digital de mi cla...
hecha 01.01.2016 - 13:36
1
respuesta

¿Por qué no hay un estándar de solicitud de revocación de certificado?

Diga que estoy creando un software de Autoridad de Certificación y quiero automatizar la revocación de certificados lo más posible. Sé que no será posible en algunos casos, como si el edificio donde se quemaron el certificado, las llaves y otros...
hecha 17.06.2015 - 19:40
2
respuestas

¿Cuándo iOS verifica la validez de los certificados de empresa?

Aquí hay un artículo que debería dar un poco más. contexto (y vea mi comentario en él, mismo nombre de usuario, para obtener información adicional). Los desarrolladores de iOS pueden distribuir aplicaciones fuera de la App Store utilizando...
hecha 12.10.2014 - 19:50
1
respuesta

¿Se ha revocado la clave de firma de Windows de D-Link filtrada?

Las noticias recientes se rompieron en cuanto a que D-Link publicaba erróneamente una clave privada de firma de código como parte de un marco de código abierto:    La clave D-Link se filtró a fines de febrero y expiró el 3 de septiembre, pare...
hecha 20.09.2015 - 16:00
1
respuesta

¿La revocación del certificado de D-Link realmente solo invalidó 1 día (de una exposición de seis meses)?

Estoy tratando de envolver mi cabeza alrededor de OCSP revocationTime para el certificado de D-Link. I contesté recientemente otra pregunta y terminó redactando una línea de tiempo. Esa línea de tiempo es básicamente esto: Jul...
hecha 02.10.2015 - 16:02