Использование промежуточных сертификатов для уменьшения риска неправомерного использования Украина ☎ +380672576220 

☎ +380443834054
☎ +380672576220
Ukrainian Symantec Partner
Ukrainian DigiCert Partner
Контакты
Справочные материалы по безопасности в интернет
SSL, Code Signin, Email, PDF, Word... сертификаты

Переход на сайт по продаже сертификатов SSL и подписи кода документов почты CSR
pKey
Установка
SSL
Цепочка
SSL
Проверка
SSL
Seal
SSL
Экспорт-Импорт
Конвертер
Code Sign
сертификаты
Email Smime
сертификаты
PDF и Word
сертификаты
База
знаний

Разное о сертификатах RSA алгоритм
DSA алгоритм
ECC алгоритм
SHA-2 хеш алгоритм

Журнал прозрачности сертификатов
OCSP респондер сертификатов
CAA запись в DNS домена
Отзыв сертификата
Intermal Names проблема
SNI - Server Name Indication
Протокол с сервером HSTS
Серверные и Клиентские серты
Обзор основ криптографии
Проблемы поля Common Name
Зачем нужны Центры сертификации
Проблемы новых доменов
Риски промежуточных сертификатов
Безопасность мобильных устройств
Технология DANE
Проверка подлинности сайта
Если ваш сайт взломали
Для владальцев Апача


Уязвимость Drown - лечение
Уязвимость Logjam - лечение
Уязвимость Venom - лечение
Уязвимость Heartbleed - лечение
Уязвимость Poodlebleed - лечение
Уязвимость вашего компьютера

Руководство по SSL для начинающих
Экскурсия по SSL сертификатам
SSL и жизнь-проблемы и радости
SSL путеводитель по сертификатам
Поля сертификата от Windows
SSL краткая история
SSL на всех сайтах
Google и SSL взаимная любовь
Покупка в инет магазине
Доверие как бизнес
Классы SSL сертификатов
Standart, SAN и Wildcard серты
Самоподписанные сертификаты
EV сертфиикаты зеленые
DV сертификаты для домена
Фейковые SSL сертификаты

CA Map

We are an Authorized Reseller for DigiCert™ SSL a WebTrust Certified
SSL Certificate Authority.

Промежуточные intermediate сертификаты CA и их потенциал для неправомерного использования

Google обнаружил, что общедоступные сертификаты TLS / (SSL) были созданы для доменов Google без запроса самого Google. Существование таких сертификатов обычно может быть принято в качестве признака несоответствия выдающим ЦС (т. е. сбой или ошибка ЦС, которая разрешила выдачу сертификата конечного объекта иначе, чем в соответствии с их политикой) или как указание на компромисс выдающего ЦС.

В этом случае проблема была не совсем одной из этих вещей, а вместо этого возникла из-за выдачи неограниченного доверенного промежуточного сертификата ЦС одной частью французского правительства в другую часть. После этого произошло (возможно, непреднамеренное) неправильное использование этого сертификата ЦС для выпуска дополнительного промежуточного сертификата ЦС, который использовался в каком-либо устройстве безопасности для прекращения соединений TLS внутри предприятия, вероятно, для DLP (Data Loss Prevention).

Кажется противоречащим интуиции, что такие вещи должны быть даже невозможными и немыслимыми, чтобы полагающиеся стороны (т.е. каждый) могли подвергаться риску за счет наличия таких промежуточных сертификатов ЦС, поэтому давайте рассмотрим, как и почему эти вещи существуют и что существуют гарантии.

Какое правовое использование может быть применимо к устройству, которое находится между конечными пользователями и веб-сайтами или другими интернет-ресурсами, к которым они обращаются, и целью которых является прекращение соединения TLS для чтения (в противном случае зашифрованного) трафика между пользователем и веб-сайтом? В общем случае, когда конечный пользователь находится в общедоступном Интернете, для такого устройства нет законного использования - и, конечно же, успешное развертывание такого устройства потребует компромисса с другими элементами интернет-инфраструктуры, такими как маршрутизация интернет-трафика , разрешение имен доменов (или обоих) в дополнение к доступности либо неограниченного доверенного промежуточного сертификата ЦС, либо доверенных и невостребованных сертификатов конечных объектов (и их соответствующих закрытых ключей) для каждого сайта или ресурса, с которым в противном случае был защищен трафик.

Тем не менее, существует законный рынок для таких устройств, когда он используется в закрытой (обычно корпоративной) среде. Одним из примеров может быть предоставление интернет-подключения к финансовому отделению, в котором есть нормативное требование о том, чтобы дилеры должны были записывать все свои сообщения и где дилеры, использующие сеть, знают о записи и понимают, что у них нет ожидание конфиденциальности при использовании сети дилинговых сетей. Даже здесь важно, чтобы любые меры, принимаемые прибором, не представляли никакого риска для всех за пределами дилижанса, и в этом случае это должно быть достигнуто, если устройство использует сертификаты, которые выдаются не из централизованного доверия, а вместо этого от частного ЦС, которому доверяют только в пределах среды дилинга. Это достижимо с небольшим усилием для большинства закрытых или корпоративных развертываний, чтобы сделать приватный CA «доверенным» в пределах своей собственной области.

Есть ли что-либо, препятствующее тому, чтобы каждый потенциальный злоумышленник получал неограниченный доверенный промежуточный сертификат ЦС, который они могли бы использовать с одним из этих устройств?
Да!!!

Централизованно доверенные корневые ЦС не могут выдавать неограниченный промежуточный сертификат ЦС, который будет использоваться в устройстве безопасности, потому что для этого нарушаются базовые требования Форума CA / B (раздел 11.1.1) о том, чтобы гарантировать, что сертификат TLS / SSL никогда не будет выдается без подтверждения от кого-то, кто владеет или контролирует доменное имя.

Существуют и другие причины, по которым корневой ЦС может рассмотреть вопрос о выдаче неконфиденциального промежуточного сертификата ЦС третьей стороне, но независимо от причины, по которой такой сертификат ЦС не может быть выпущен, если эта третье лицо не подвергается такому же уровню аудита, который квалифицировал бы третью сторону быть корневым ЦС в своем собственном праве (раздел 17), а корневой ЦС остается ответственным (раздел 18.3) для действий промежуточного ЦС, включая их соответствие базовым требованиям.

В дополнение к этим запретам в базовых требованиях CA / B Forum, которые включены в качестве ссылок в политику корневой программы большинства основных браузеров, Mozilla (производитель браузера FireFox) попросила все корневые центры сертификации в своей программе добавить заявление в CA CP / CPS, заявляя, что они не выдадут подчиненный (так называемый промежуточный) сертификат, который может использоваться для MITM или «управление трафиком» доменных имен или IP-адресов, которые владелец сертификата не имеет законного права собственности или контроля.

Все доверенные корневые центры сертификации проверяются, чтобы продемонстрировать их соответствие исходным требованиям Форума CA / B. Ни один из членов Совета безопасности CA не предоставил независимые промежуточные центры сертификации из доверенных корней предприятиям (или кому-либо еще!) Для этой цели, и все члены Совета безопасности CA соблюдали требования к корневой программе с момента их появления. 


 DV SSL OV Сертификаты подтверждающие только Домен OV SSL OV Сертификаты подтверждающие Домен и Организацию EV SSL EV Зеленые усиленные сертификаты с указанием названия Организации подтверждают Домен и Организацию WC SSL wildcard Сертификаты защищающие все субдомены. Класс DV OV и EV SAN SSL SAN Мульти доменные  сертификаты защищающие несколько FQDN Доменов. Класс DV OV и EV PRO SSL SGC PRO сертификаты с технологией  Server Gated Cryptography. Класс  OV и EV CodeSign Сертификаты для подписи приложений и програмного кода MS, Java. Класс  OV и EV Email Сертификаты для подписи емаил smime. Класс  DV OV PDF Сертификаты для подписи документов PDF. Класс  OV PV Wi-Fi Сертификаты DigiCert для IoT и Wi Fi IoT Сертификаты DigiCert для IIoT ALL Все сертификаты Symantec Familie: Symantec, thawte, GeoTrust, DigiCert Купить сертификат

NO russia - мы не осблуживаем резидентов из россии Copyright © 1997-2018 adgrafics