#ssl #x509
#ssl #x509
Вопрос:
Сценарий 1. Если вы используете самозаверяющий сертификат на внутреннем веб-сайте, вы все еще используете шифрование. Самая большая проблема безопасности (о которой я знаю) заключается в том, что ваш браузер не распознает сертификат как доверенный, и когда вы указываете своему браузеру доверять ему, большинство людей не будут проверять, что сертификат, которому вы доверяете, на самом деле является сертификатом на веб-сервере, а не пользовательским сертификатом.промежуточная система, которая заменила ваш сертификат своим собственным. Итак, проблема безопасности здесь очевидна.
Сценарий 2. При действительном сертификате X509 от реального центра сертификации, которому доверяют во всем мире, по истечении срока действия сертификата, если вы решите обойти предупреждение своего браузера и использовать веб-сайт для входа в систему, в чем проблема безопасности? Вы все еще используете шифрование. Закрытый ключ по-прежнему защищен на веб-сервере. Если система «человек посередине» попытается заменить сертификат, вы, вероятно, получите предупреждение браузера о недействительности сертификата, а не предупреждение о том, что срок его действия истек.
PS. Существует целая статья об опасностях истечения срока действия сертификата SSL, но все, что в ней упоминается о недостатках для бизнеса (не технических недостатках), которые применяются только к общедоступным веб-сайтам (не внутренним веб-сайтам), и упоминается общее утверждение, такое как «Личная информация, подверженная риску из-за атак типа «человек посередине»».с нулевым объяснением, почему они думают, что это так. Я не уверен, что они даже знают. Я чувствую, что большинство веб-сайтов в Интернете делают это для такой сложной темы, как эта — они говорят общее утверждение, которое, по их мнению, верно, но не знают почему.
Ответ №1:
Срок службы сертификата позволяет упростить отзыв сертификата. После истечения срока действия сертификата он считается недействительным, что означает, что центр сертификации не должен хранить информацию об отзыве для этого сертификата и предоставлять ее по запросу клиента (т.Е. Проверки отзыва с помощью CRL, OCSP, …).
Таким образом, если сертификат с истекшим сроком действия скомпрометирован (закрытый ключ известен злоумышленнику), владелец сертификата не может отозвать его, поскольку он все равно недействителен. Это означает, что посредник может выдавать себя за исходный сервер с оригинальным сертификатом и украденным закрытым ключом, и у клиента нет возможности обнаружить это, проверив отзыв.
Комментарии:
1. Точно. Другие способы использования ограниченного срока службы сертификата включают: (1) центр сертификации может принудительно применять ротацию ключей при обновлении; (2) безопасность — это развивающаяся область, и сертификат может содержать определенный тип или размер ключа, или подпись может использовать определенный алгоритм хэширования, который CA больше не желает сертифицировать / использовать на постоянной основе, и которому больше не следует доверять.
2. Увлекательно. Я понятия не имел. По-прежнему звучит так, будто вы знаете, что делаете, и знаете, что обращаетесь к внутреннему веб-серверу, закрытый ключ по-прежнему защищен, ключ не был отозван (потому что вы ИТ-специалист, который отозвал бы его), и срок его действия не истек достаточно долгодля того, чтобы размер ключа или алгоритм хэширования устарели настолько, что стали проблемой безопасности, не должно быть никаких серьезных проблем с его краткосрочным использованием. Точно так же, как если вы знаете, что делаете, самозаверяющие сертификаты можно безопасно использовать. Конечно, вы ДОЛЖНЫ обновить сертификат с истекшим сроком действия как можно скорее, но в крайнем случае…
3. @John: да, в основном у вас есть безопасность самозаверяющего сертификата.