3 votos

¿Qué sucede cuando alguien llega a conocer la clave secreta (del servidor web / CA)?

Básicamente, tengo tres preguntas y agradecería una breve explicación de las diferencias en las consecuencias de estos robos:

  1. ¿Qué sucede cuando alguien llega a conocer la clave secreta del servidor web?
  2. ¿Qué sucede cuando alguien llega a conocer la clave secreta de CA que firma el certificado del servidor web?
  3. ¿Qué sucede cuando alguien llega a conocer la clave secreta de un determinado CA?

2voto

Jorge Valentini Puntos 31

Los certificados se utilizan para el cifrado (de modo que el tráfico sólo puede ser leído por los dos compañeros que participan) y firma (de modo que usted puede estar seguro de que un servidor es el que coincide con la dirección que se está conectando). Con estas dos funciones en mente, voy a tratar brevemente respuesta a sus diferentes escenarios:

  1. ¿Qué sucede cuando alguien llega a conocer la clave secreta del servidor web?
  1. El tráfico (pasado, presente y futuro) para el HTTPS servicio puede ser descifrado si son capturados, exposición de datos sensibles, tales como credenciales.
  1. ¿Qué sucede cuando alguien llega a conocer a la entidad emisora clave secreta que firma el certificado del servidor web?
  1. Un atacante puede ser capaz de firmar un nuevo certificado, y los clientes que considerar la CA que firmó el servidor web va a confiar en él. De esta manera, el clonado portal podría suplantar a su servicio, por la certificación para ser tuyo aunque no lo es.
  1. ¿Qué sucede cuando alguien llega a conocer la clave secreta de una cierta CA?
  1. Esta es más difícil, y el caso general para el punto 2. El la cosa es que con una CA de confianza de la clave privada, usted puede firmar certificados y van a ser de confianza por parte de clientes que ya confían en esta CA. Hay dos niveles diferentes de compromiso aquí: Si un CA intermedia clave se filtró, siempre se puede revocar mediante el clave de la root. Sin embargo, si la clave de la root está en peligro, que el CA se hace, usted tiene que comenzar un nuevo CA si desea una confianza firmante, que es ¿por qué la clave de la root de una CA es generalmente recomendado muy bien protegido, usted puede generar el intermedio de firmar y, a continuación, espacio de aire o apague el servidor con la clave de la root.

Cuando usted habla de grandes CAs (Comodo, VeriSign, etc), la confianza es vital para ellos, una vez que los sistemas de confiar en ellos, dejar de confiar en ellos se requieren actualizaciones de software. Muchos de estos CA escándalos han terminado las empresas, a mencionar: StartSSL y DigiNotar.

Espero que ayude. Saludos

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: