LINUX.ORG.RU
ФорумAdmin

Простой вопрос о сертификатах и доменных именах

 , ,


0

3

Представим себе простую ситуацию:
Вася Пупкин купил сертификаты на 10 лет, CN коих - name1.company.com, name2.company.com. Опустим возможность того, что Вася подписал у VeriSign собственно сертификат CA нижележащего уровня, а им уже понасоздавал другие сертификаты.
«Внезапно» доменный регистратор отбирает у Васи Пупкина доменные имена name1.company.com и все прочие аналогичные, на которые Вася выписал сертификаты

Внимание, вопрос:
Если VeriSign отвечает за «валидность» сертификатов, то должны ли они отозвать сертификаты Пупкина, поскольку те выписаны на имена, к Пупкину более отношения не имеющие? Каким образом и в какие сроки сертификаты должны быть отозваны, т.е. каков механизм связи между доменными регистраторами и «правыми» Certificate Authority, насколько он латентен по времени реакции?
А в конечном итоге нет ли смысла Certificate Authority глобального уровня делегировать CA уровня доменного регистратора права на генерацию/отзыв сертификатов одновременно с регистрацией/аннулированием регистрации доменных имён?

★★★★★

У меня вопрос попроще. А есть ли в системе список отозванных сертификатов и как он обновляется?

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

В дефолтном Firefox есть сам список, но он пустой. Проблема, опять же решилась бы использованием OCSP-сервисов хотя бы для известных CA. Вообще чем больше думаю об этом, тем больше https мне кажется откровенной фикцией...

DRVTiny ★★★★★ ()
Последнее исправление: DRVTiny (всего исправлений: 1)
Ответ на: комментарий от DRVTiny

тем больше https мне кажется откровенной фикцией...

Скорее, SSL и сертификаты :).

Я бы предложил отказаться от глобальных сертификационных центров и хранить сертификаты в днс-записях. Но, блин, тогда возникает проблема как проверить подлинность днс-ответа.

Наверно, надо придумать механизм чтобы было как бы несколько сертификатов от разных центров. И для надёжной аутентификации нужно чтобы все они были валидными. Но это тоже не очень хорошо.

true_admin ★★★★★ ()

Каким образом и в какие сроки сертификаты должны быть отозваны, т.е. каков механизм связи между доменными регистраторами и «правыми» Certificate Authority, насколько он латентен по времени реакции?

Имхо никакого механизма нет, если Вася Пупкин посчитает нужным, то напишет регистратору и тот отзовет сертификат.

Плюс к этому Вася Пупкин с потерей домена не теряет контроля над сертификатом, если он не передаст секретный ключ от сертификата новому владельцу

Harald ★★★★★ ()

короче особого смысла отзывать сертификат в такой ситуации нет

Harald ★★★★★ ()

На 10 лет тебе никто сертификат не выпишет, выдают на два вроде максимум. Я недавно вайлдкард выписывал *.domain.ru на два года, тысяч в 35 вроде вышло, совсем не дешего :) Если домен отберут в течении этих двух лет, то ничего особо не поделаешь я думаю. CRL, как уже писали, в браузерах особо нет, так что можно мутить man-in-the-middle :)

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

так что можно мутить man-in-the-middle :)

т.е. прежний владелец домена устраивает man-in-the-middle новому владельцу?

Harald ★★★★★ ()
Ответ на: комментарий от Harald

Угу :) Сценарий маловероятный, но теоретически возможный.

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

На 10 лет тебе никто сертификат не выпишет, выдают на два вроде максимум. Я недавно вайлдкард выписывал *.domain.ru на два года, тысяч в 35 вроде вышло, совсем не дешего

Вообще не понимаю людей которые платят такие деньги фактически за воздух. Если уж и брать, то гораздо дешевле, например http://rus.gogetssl.com/domain-validation/comodo-positive-ssl-wildcard/ и подобных предложений море. Да и дают на 5 лет. Хотя, если фирма деньги не считает и всем пофигу, то можно и по 500 баксов в год платить.

FreeBSD ★★★ ()
Ответ на: комментарий от true_admin

Это где «фууу» нашлось такое? Здесь чтоли - «Comodo PositiveSSL Wildcard сертификат отличный 256-битовый продукт со сроком выдачи всего 3-4 минуты.» ?

FreeBSD ★★★ ()
Ответ на: комментарий от FreeBSD

Кстати прикольно, тот же https://www.reg.ru/ssl-certificate/Comodo/ барыжит те же Комодовские сертификаты по 8460 р. в год, вот уж действительно бизнес по-русски - мега наценка на воздух =))

FreeBSD ★★★ ()
Ответ на: комментарий от Harald

Плюс к этому Вася Пупкин с потерей домена не теряет контроля над сертификатом, если он не передаст секретный ключ от сертификата новому владельцу

Мило. Достаточно получить доступ (или изначально его иметь?) к DNS-серверу провайдера уровня «пять квартир на этаже» - и вместо IP банка хомячкам будет выдаваться IP сайта Васи Пупкина. При этом https на этот сайт бует превосходно работать по той простой причине, что у Васи есть совершенно валидный сертификат. Гениально!

DRVTiny ★★★★★ ()
Ответ на: комментарий от DRVTiny

ну так не надо делать интернет-банк на доменах, отобранных у Васи Пупкина

Harald ★★★★★ ()
Ответ на: комментарий от true_admin

Я бы предложил отказаться от глобальных сертификационных центров и хранить сертификаты в днс-записях

Однго другое не исключает же. Есть глобальный центр, к нему, например, относится весь *.ru Есть некая конторка lomotory.ru, у которой собственный CA, сертификат коего подписан глобальным центром *.ru, может выдавать сертификаты только на *.lomotory.ru и на lomotory.ru Как только срок действия сертификата CA lomotor'ов истекает или же этот сертификат отзывается, попадая в обзедоступные OCSP-перечни, все выданные им сертификаты считаются недействительными.
Косяк существующей системы в том, что имена, используемые глобальной распределённой системой сертификации и те же самые имена, фигурирующие в глобальной распределённой системе доменных имён - это сейчас вообще разные имена по сути. Причём не факт, что современная бардачная система сертификации исключает выдачу 100500 совершенно валидных сертификатов на одно и то же доменное имя!

DRVTiny ★★★★★ ()
Ответ на: комментарий от DRVTiny

сертификат коего подписан глобальным центром *.ru, может выдавать сертификаты только на *.lomotory.ru и на lomotory.ru

стандарт X.509 такого не предполагает, тот, кто подписывает сертификат, может писать в CN всё что угодно, механизмов, ограничивающих это со стороны центра сертификации, нету.

Harald ★★★★★ ()
Ответ на: комментарий от Harald

Безусловно, сейчас такого механизма нет, для нижележащего центра сертификации невозможно ограничить множество CN, для которых он выддаст сертификаты. Но вышестоящий центр может вести простые общедоступные списки вида:
«DN нижестоящего CA» - scope1,scope2,scopeN

DRVTiny ★★★★★ ()
Ответ на: комментарий от FreeBSD

Ну я брал у ник.ру т.к. с ними уже имеется договор, поэтому мне проще было, а для фирмы 35т.р. не деньги.

А у комодо я боюсь если брать на 5 лет, то раз в год-два надо будет всё равно перевыпускать, хотя могу ошибаться.

blind_oracle ★★★★★ ()
Ответ на: комментарий от true_admin

блин, тогда возникает проблема как проверить подлинность днс-ответа.

DNSSEC? :-)

Pinkbyte ★★★★★ ()
Ответ на: комментарий от DRVTiny

Причём не факт, что современная бардачная система сертификации исключает выдачу 100500 совершенно валидных сертификатов на одно и то же доменное имя!

Всё верно - не факт. Вы можете сделать сертификат на один и тот же CN в разных конторах и всё будет работать.

FreeBSD ★★★ ()
Ответ на: комментарий от Pinkbyte

DNSSEC? :-)

dnssec это тот же самый public key cryptography и те же проблемы что и у https/ssl.

true_admin ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.