Vlákno názorů k článku Odklikněte i neznámý certifikát, radí stát úředníkům pracujícím se základními registry od petr_p - Kontrola kanonického jména je ve své podstatě buzerace,...
-
Článek je starý, nové názory již nelze přidávat.
- Podle hodnocení
- Podle vláken
- Nejnovější
-
petr_p (neregistrovaný)
Kontrola kanonického jména je ve své podstatě buzerace, která přidává omezení na doménové jméno nebo IP adresu (nebo cokoliv jiného) a která dokonce může umožňit podvod, kdy jiná autorita vydá certifikát na stejné jméno (a že takových úspěšných útoků již bylo).
Kontroluje-li se sériové číslo a vydavatel nebo otisk certifikátu, tak lze dosáhnout stejné, ne-li lepší bezpečnosti (vizte předchozí odstavec). Problém jen nastane, když protistrana vymění certifikát a nikomu o tom neřekne.
Rada instalovat stejný klíč do více systémů může znít podivně, ale když vezmete v úvahu stěhování systémů (změna adresy) nebo rozložení zátěže do clusteru, tak dává smysl. Umožňuje totiž správci operativně přizpůsobovat svůj systém. Nebo byste chtěl, aby když stávající systém umře nebo vypadne hlavní připojení k Internetu, aby se musely schánět nové certifikáty? Dovedete si představit vzniklé výpadky, když úřad má třicetidenní lhůtou na vyřízení žádosti. Třeba na vydání nového certifikátu?
-
ofli (neregistrovaný)
Nekontrolovat CN/SAN? Takze proto, ze existuje par statem sponzorovych utoku na CA, tak snizime bezpecnost tim, ze CN/SAN nebudeme kontrolovat vubec?
A kdyz vydaji novy certifikat po roku (nebo jak dlouha je platnost), tak preinstaluji/prekonfiguruji vsechny instalace, aby prijimaly nove seriove cislo?
Jenom doufam, ze kontrola serialu je _navic_ k validaci retezce certifikatu (nevidim to tam explicitne a mel bych obavy ze to tak neni, protoze kontrola CN/SAN je soucasti PKIX validace).
Kontrolovat hashu serveroveho certifikatu dava spis smysl, mozna lepsi by bylo kontrolovat hash certifikatu vydavajici CA nebo jeji SPKI (CA certificate/SPKI pinning).
ČLÁNKY DO MAILU