Почему Центры Сертификации Не Соблюдают Требования К Сертификату Ca/Браузера

Форум CA/Browser обновляется ежегодно.

Базовые требования к сертификатам SSL/TLS сервера (базовые требования или BR).

Одно из таких требований указано в пункте 4.9.9 с пометкой ОБЯЗАТЕЛЬНО:

Ответы OCSP (протокол статуса онлайн-сертификата) ДОЛЖНЫ соответствовать RFC 6960 и/или RFC 5019. Ответы OCSP ДОЛЖНЫ либо:

1. Быть подписаны центром сертификации, выдавшим сертификаты, статус отзыва которых проверяется, или
2. Иметь подпись ответчика OCSP, сертификат которой подписан центром сертификации, выдавшим сертификаты, статус отзыва которых проверяется.

В последнем случае сертификат подписи OCSP ДОЛЖНО содержать расширение типа id-pkix-ocsp-nocheck. , как указано в RFC 6960.

Вот скриншот из Базовые требования к выпуску и управлению сертификатами, пользующимися общественным доверием (последняя версия 1.7.0, 4 мая 2020 г.

, PDF ):



Стандарт RFC6960 в разделе 4.2.2.2 определяет «Делегированного ответчика OCSP» по наличию id-kp-OCSPSigning. Разработчик Райан Сливи, чья компания специализируется на работе с сертификатами, доказал что удостоверяющие центры массово нарушают пункт 4.9.9 правил.

Изучив данные crt.sh, Райан Сливи обнаружил: 293 промежуточных сертификата без расширения pkix-nocheck, из которых 180 в настоящее время действительны, а 113 отозваны.

Фильтрация на Census.io дает 276 сертификатов , отвечающий этим условиям.

Таким образом, эти сертификаты нарушают основные требования CA/Browser и обязательный требования.

По мнению Райана Рукли, центрам сертификации следует более внимательно изучить правила CA/Browser. Вполне вероятно, что некоторые центры сертификации не знакомы с требованиями RFC 6960. Отсутствие соответствующего расширения – не просто формальность.

Здесь нет проблемы в том смысле, что промежуточный СА не могу отозвать сертификат другого промежуточного центра сертификации из того же корневого центра сертификации.

Реальная проблема заключается в том, что в отсутствие расширения промежуточный ЦС теоретически мог бы отменить отзыв сертификата другой промежуточный центр сертификации или сам корневой центр сертификации.

Это действительно проблема.

Фактически у удостоверяющего центра в такой ситуации нет надежного варианта полного и необратимого отзыва сертификатов.

Процедура отзыва не работает должным образом, что открывает злоумышленникам возможность потенциально начать атаку с целью восстановления отозванного сертификата.

Для решения этой проблемы предлагается при отзыве сертификата необратимо удалить все копии ключей, чтобы отзыв также стал необратимым.

В оправдание ЦС можно сказать, что даже без этого недостатка процедура отзыва сертификатов на данный момент не работает должным образом.

Таким образом, основные браузеры хранят свои собственные копии списков отзыва сертификатов CRL — и не всегда проверяют их актуальность.

Эти CRL содержат только основную, наиболее важную информацию, но они далеко не полны.

Например, Chrome не проверяет, был ли отозван каждый конкретный сертификат TLS, в отличие от Firefox. То есть иногда с помощью Chrome можно безопасно зайти на сайт с просроченным сертификатом, но Firefox выдаст предупреждение и не пустит вас туда.

Интересно, что по правилам неправильные сертификаты должны быть отозваны в браузерах в течение 7 дней, но для этой ситуации было сделано исключение.

Бен Уилсон из Mozilla заявил, что они не будет отозвать сертификаты с отсутствующим расширением id-pkix-ocsp-nocheck. Хотя такие сертификаты не соответствуют требованиям, Firefox не подвержен этой конкретной уязвимости безопасности, поскольку он не принимает ответы OCSP, подписанные промежуточными центрами сертификации.

Центры сертификации должны каким-то образом заменить неверные сертификаты, но сроков для этого нет.

• Основатель Aimobilco Рассказал О Вымогательствах Со Стороны Борцов С Пиратством

  19 Oct, 24

• Must-Have: 15 Игровых Спрайтов Для Дизайнера И Художника

  19 Oct, 24

• Постоянные Скидки От Хостеров Для Посетителей Vps Search И Vps.today

  19 Oct, 24

• Раздел Серверной Части Dump: Serverless, Postgres And Go, .Net Core, Graphql И Многое Другое.

  19 Oct, 24

• Вы Воспринимаете Домены Тематически?

  19 Oct, 24

• Ваша Социальная Загробная Жизнь

  19 Oct, 24

• 3 Юридические Ошибки Интернет-Магазинов

  19 Oct, 24

• Yahoo!: Раки И Щуки Согласились

  19 Oct, 24

• Разработка Для Android. Немного О Быстрой Работе Со Списками

  19 Oct, 24

• Yahoo!, Myspace И Google Создадут Некоммерческий Opensocial Foundation

  19 Oct, 24