Czy urząd certyfikacji (CA) musi być stale online?

2

Czy CA musi być cały czas online, aby cały system działał?

Na przykład, jeśli przejdę na bezpieczną stronę internetową, która używa certyfikatu podpisanego przez CA, otrzymuję klucz publiczny wraz z treścią strony internetowej. Następnie, gdy wysyłam informacje z powrotem do serwera, jest ono szyfrowane przy użyciu klucza publicznego, który został mi przekazany, i ostatecznie odszyfrowane za pomocą informacji wysłanych z ich kluczem prywatnym i wszystko jest w porządku.

Czy jest jakiś punkt w procedurze, który ja (przeglądarka / aplikacja) musi sprawdzać przez Internet z urzędem certyfikacji, aby upewnić się, że certyfikat jest prawdziwy lub rzekomy klucz publiczny naprawdę należy do strony? A jeśli w przeszłości zaufałem / zatwierdziłem urząd certyfikacji, czy nie jest potrzebna inna kontrola?

Czy CA musi być cały czas online, aby cały system certyfikatów / podpisów cyfrowych działał?

HappyDM
źródło

Odpowiedzi:

3

CA nie musi być online. Jednak certyfikat publiczny urzędu certyfikacji może wskazywać serwer WWW z listami odwołania. To powinno być online.

Większość wdrożeń ma zainstalowaną listę certyfikatów publicznych urzędów certyfikacji. Użytkownicy mogą zazwyczaj zaufać certyfikatowi, nawet bez certyfikatu publicznego urzędu certyfikacji. Serwer WWW dostarczy swój publiczny certyfikat, jeśli będzie to wymagane. W zależności od jego konfiguracji może on obsługiwać jeden lub więcej certyfikatów w łańcuchu do publicznych certyfikatów CA. Może to obejmować certyfikat CA.

Ten mechanizm może być używany dla innych protokołów opartych na TLS lub starszych wersjach SSL. Niektóre inne popularne protokoły wykorzystujące TLS to LDAPS, STMPS i IMAPS. Serwery bazowych protokołów często obsługują StartTLS, gdzie TLS jest uruchamiany na normalnym niezaszyfrowanym porcie.

EDYTUJ: Większość urzędów certyfikacji rozpowszechnia certyfikaty za pośrednictwem poczty elektronicznej lub witryny sieci Web. Muszą być online. Nie ma potrzeby, aby certyfikat podpisujący był kiedykolwiek w systemie połączonym z Internetem. Jednak znacznie łatwiej jest uniknąć Sneakernetu i umieścić go w systemie podłączonym do Internetu. Umożliwia to szybszą zmianę podpisu przy mniejszej interwencji ręcznej. Jak widzieliśmy, pozwala to na kradzież klucza podpisującego.

Ogólnie rzecz biorąc, klucz nigdy nie musi opuszczać systemu, w którym jest używany. Dotyczy to całego łańcucha. Ważne jest, aby chronić klucz, certyfikaty muszą być publicznie dostępne, aby były przydatne. Umieszczenie kluczy w bezpiecznym wymiennym magazynie jest opcją, ale nie bez własnego ryzyka.

Bezpieczne hasło pomaga, ale dla urzędów certyfikacji, które wydają duże ilości certyfikatów, hasło może być dostępne dla skryptu podpisującego. Ułatwia to uzyskanie klucza i hasła.

Możliwe jest pozostawienie klucza podpisującego najwyższego poziomu w trybie offline i zamknięcie go w skarbcu. Klucz drugiego poziomu może być używany do podpisywania certyfikatów, a jego certyfikat jako certyfikat łańcucha. Odzyskiwanie po utracie klucza drugiego poziomu jest łatwiejsze niż odzyskanie po utracie podstawowego klucza podpisywania.

BillThor
źródło
Dlaczego więc widzimy, że niektóre informacje o jednym CA są zagrożone, a niektóre certyfikaty zostały skradzione? Jeśli CA nie musi być w trybie online, dlaczego te ataki się zdarzają?
Majid Azimi
Zobacz EDYCJA, aby uzyskać szczegółowe informacje.
BillThor