Должен ли центр сертификации (CA) постоянно находиться в сети?

807
HappyDM

Должен ли ЦС быть в сети постоянно, чтобы вся система работала?

Например, если я захожу на защищенную веб-страницу, которая использует сертификат, подписанный ЦС, я получаю открытый ключ вместе с содержимым веб-страницы. Затем, когда я отправляю информацию обратно на сервер, она шифруется с помощью предоставленного мне открытого ключа и, наконец, дешифруется с помощью информации, которую я отправляю с их закрытым ключом, и все в порядке.

Есть ли смысл в процедуре, которую я (браузер / приложение) должен проверить через Интернет с ЦС, чтобы убедиться, что сертификат действителен или предполагаемый открытый ключ действительно принадлежит веб-сайту? Или, если в прошлом я доверял / утверждал ЦС, другие проверки не нужны?

В целом, должен ли ЦС постоянно находиться в сети, чтобы вся система сертификатов / цифровой подписи работала?

2

1 ответ на вопрос

3
BillThor

CA не должен быть онлайн. Однако общедоступный сертификат CA может указывать на веб-сервер, имеющий списки отзыва. Это должно быть онлайн.

В большинстве реализаций установлен список открытых сертификатов CA. Пользователи обычно могут доверять сертификату даже без общедоступного сертификата CA. При необходимости веб-сервер предоставит свой публичный сертификат. В зависимости от конфигурации он может направлять один или несколько сертификатов в цепочке к общедоступным сертификатам ЦС. Это может включать сертификат CA.

Этот механизм может использоваться для других протоколов, основанных на TLS или более старых версиях SSL. Некоторые другие распространенные протоколы, использующие TLS, включают LDAPS, STMPS и IMAPS. Обычно серверы базовых протоколов поддерживают StartTLS, где TLS запускается на обычном незашифрованном порту.

РЕДАКТИРОВАТЬ: Большинство ЦС распространяют сертификаты по электронной почте или через веб-сайт. Они должны быть онлайн. Нет необходимости когда-либо подписывать сертификат в системе, подключенной к Интернету. Однако гораздо проще избежать Sneakernet и подключить его к системе, подключенной к Интернету. Это позволяет быстрее подписать оборот с меньшим количеством ручного вмешательства. Как мы уже видели, это позволяет украсть ключ подписи.

Как правило, ключ никогда не должен покидать систему, в которой он используется. Это относится ко всей цепочке. Важно защитить ключ, сертификаты должны быть общедоступными, чтобы быть полезными. Размещение ключей в безопасном съемном хранилище - вариант, но не без его собственных рисков.

Наличие безопасного пароля помогает, но для центров сертификации, которые выдают большие объемы сертификатов, пароль может быть доступен для сценария подписи. Это облегчает получение как ключа, так и его пароля.

Возможно сохранение ключа подписи верхнего уровня в автономном режиме и заблокированного в хранилище. Ключ второго уровня можно использовать для подписи сертификатов, а его сертификат предоставляется в качестве цепного сертификата. Восстановление после потери ключа второго уровня проще, чем восстановление после потери первичного ключа подписи.

Тогда почему мы видим, что некоторые новости об одном ЦС скомпрометированы, а некоторые сертификаты были украдены? Если CA не нужно быть в сети, почему эти атаки происходят? Majid Azimi 12 лет назад 0
Смотрите РЕДАКТИРОВАТЬ для деталей. BillThor 12 лет назад 0

Похожие вопросы