Автор Тема: Как не трябва да се правят глупости със сертификати  (Прочетена 13411 пъти)

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Според мен би следвало да е най-добре root CA-тата, подписващи сертификати, използвани за пред държавни институции като например НАП да бъдат някакви държавни (или одобрени от държавата) компании. Така по-лесно се подържат CRL списъци, разни компрометирани ключове влизат там според правила, които държавата е одобрила, отделно предполагам същата си има разни параноични съображения, прави си някакви нейни одити и CA-тата са регистрирани в България и оперират според родното законодателство. Така че не виждам нищо ненормално в това, че Банксервиз са root, а не intermediate CA. В смисъл не мисля, че е толкова важно, че не принадлежи към списъка с trusted CAs по дефолт в браузърите. Така или иначе можеш да си импортнеш банксервиз-кия CA сертификат без проблеми.
Активен

"Knowledge is power" - France is Bacon

romeo_ninov

  • Напреднали
  • *****
  • Публикации: 2155
    • Профил
Според мен би следвало да е най-добре root CA-тата, подписващи сертификати, използвани за пред държавни институции като например НАП да бъдат някакви държавни (или одобрени от държавата) компании. Така по-лесно се подържат CRL списъци, разни компрометирани ключове влизат там според правила, които държавата е одобрила, отделно предполагам същата си има разни параноични съображения, прави си някакви нейни одити и CA-тата са регистрирани в България и оперират според родното законодателство. Така че не виждам нищо ненормално в това, че Банксервиз са root, а не intermediate CA. В смисъл не мисля, че е толкова важно, че не принадлежи към списъка с trusted CAs по дефолт в браузърите. Така или иначе можеш да си импортнеш банксервиз-кия CA сертификат без проблеми.
Доколкото ми е известно те са официални, в смисъл на одобрени от държавата (КРС конкретно) и без таква одобрение не можеш да станеш root CA (поне у нас)
CRL се поддържат от всеки CA и поради това че (обикновено) се генерират на 3 часа няма да е много удобно поддържането на един, концентрирал лист
Активен

0x2B|~0x2B

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Имам предвид примерно как се разрешават проблеми възникнали в периода от време между компрометирането на ключа и пъхането му в списъка. Примерно представям си как пускаш оплакване, че са ти откраднали картата с ключа след което се логваш и правиш някаква операция там, която евентуално после ако не ти изнася, можеш да твърдиш че не си я правил. В тоя случай държавата (съда) предполагам трябва да изиска от CA-то информация кога точно е пусната заявката, от какъв адрес и такива работи. Като не са родни (държавни?) фирми, такива казуси вероятно се усложняват (нямам идея де, само предполагам). Но преди не много време от любопитство бях гледал CRL списъците на един от одобрените удостоверители. Имаше доста revoke-нати заради "key compromise", в смисъл почти хиляда за месец и ми се видя бая. Плюс това те са доколкото знам поне 3-4 одобрени удостоверители, следователно общия брой revoke-нати сертификати трябва да е дори още повече. Може би аз не съм в час де и наистина много хора ползват прословутите електронни подписи, но дори при това положение ми се вижда малко странно на толкова много хора да им крадат ключовете.

То лесно може да се провери де...
https://www.stampit.org/crl_archive/2009/

теглиш някой архив там, разархивираш го и пускаш нещо от вида на find ./|xargs --replace=blabla openssl crl -inform DER -text -in blabla 2>/dev/null|grep "ey Compromise"|wc -l

Активен

"Knowledge is power" - France is Bacon

romeo_ninov

  • Напреднали
  • *****
  • Публикации: 2155
    • Профил
gat3way, честно казано в момента ме мързи да правя подобна статистика, но си помисли върху факта че е възможно операторите просто да ги мързи, да не знаят и какво ли още не и да ползват само (основно) този атрибут. 
П.П. Доколкото имам спомени в закона никъде не се коментират неща, свързани с използване на небългарски СА.. То тоя закон - мани-мани, например ако с теб се познаваме лично и имаме един за друг известна информация ти можеш да "замразиш" мисля до 72 часа сертификата ми, казано с други думи да ми направиш DoS атака:)
« Последна редакция: Nov 03, 2009, 08:54 от romeo_ninov »
Активен

0x2B|~0x2B

v_badev

  • Напреднали
  • *****
  • Публикации: 1355
    • Профил
gat3way, сега си направих теста който си писал, с последният CRL на stampit има 175 реда такива сертификата. В CRL-а за персоналните сертификати на Инфонотари няма. При положение че stampit работят от 2003-а година не ми се струват много. Освен това те често се издават на малки карти в комплект с четец с размера на флаш памет. Може и да са загубени.

@vstoykov, прегледай този линк и най-вече този PDF. Организацията която е удостоверила Инфонотари е Web Trust, и на базата на това са включени в Windows. Наистина още ги няма в Mozilla, но предполагам се работи и по това. Mozilla са пословично бавни за такива неща.
Активен

lod

  • Напреднали
  • *****
  • Публикации: 76
  • Distribution: (K)Ubuntu/FreeBSD
  • Window Manager: Gnome/KDE
  • LPIC-3, CCNP, MCT, MCSE, VW Golf Driver
    • Профил
http://www.b-trust.org/certificates/CA_certificates/RootCA4cert.cer
Хм, това, което ме смущава е че са го издали с валидност 20 години, което е прекалено дълъг срок. По-нормално би било да е за примерно 10 фодини

и след 10 години знаеш ли какво чудо ще настане, когато трябва да се смени РООТ-а, да се прегенерират всички субординати и клиентски сертификати.
ако главният роот е за 40 години и се подписват с него 1-2 сертификата на година не представлява голяма опасност.

отностно грешката, най - вероятно проблема се е получил при публикуване в ldap
« Последна редакция: Jan 26, 2010, 17:03 от lod »
Активен

romeo_ninov

  • Напреднали
  • *****
  • Публикации: 2155
    • Профил
http://www.b-trust.org/certificates/CA_certificates/RootCA4cert.cer
Хм, това, което ме смущава е че са го издали с валидност 20 години, което е прекалено дълъг срок. По-нормално би било да е за примерно 10 фодини

и след 10 години знаеш ли какво чудо ще настане, когато трябва да се смени РООТ-а, да се прегенерират всички субординати и клиентски сертификати.
ако главният роот е за 40 години и се подписват с него 1-2 сертификата на година не представлява голяма опасност.

отностно грешката, най - вероятно проблема се е получил при публикуване в ldap
Аз много добре знам за какво иде реч, но ти си противоречиш. Хем да не е с малко години защото имало много зависими от него, хем да се подписват по един-два за година. Всеки CA всъщност има поне 20 CA (а някои в порядък повече), който се подписват с този коренов сертификат
Активен

0x2B|~0x2B

lod

  • Напреднали
  • *****
  • Публикации: 76
  • Distribution: (K)Ubuntu/FreeBSD
  • Window Manager: Gnome/KDE
  • LPIC-3, CCNP, MCT, MCSE, VW Golf Driver
    • Профил
http://www.b-trust.org/certificates/CA_certificates/RootCA4cert.cer
Хм, това, което ме смущава е че са го издали с валидност 20 години, което е прекалено дълъг срок. По-нормално би било да е за примерно 10 фодини

и след 10 години знаеш ли какво чудо ще настане, когато трябва да се смени РООТ-а, да се прегенерират всички субординати и клиентски сертификати.
ако главният роот е за 40 години и се подписват с него 1-2 сертификата на година не представлява голяма опасност.

отностно грешката, най - вероятно проблема се е получил при публикуване в ldap
Аз много добре знам за какво иде реч, но ти си противоречиш. Хем да не е с малко години защото имало много зависими от него, хем да се подписват по един-два за година. Всеки CA всъщност има поне 20 CA (а някои в порядък повече), който се подписват с този коренов сертификат

идеята ми беше, че ако Root на level 1, е за 40 години и с него се подписват няколко субординати и се опреснява crl, не представлява опасност да му дешифроват частният клуч (ако говорим за 4096 бит). вече субординати на ниво 2-3 трябва да са с къса валидност, особено когато подписват голям брой сертификати. но 10 години е твърде кратък период на валидност на root ca. най - малкото ако субординатите му са за 5 години, няма да успее да ги поднови и т.н.
Активен

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Това колко сертификата се подписват с един ключ няма отношение към това доколко лесно е да се счупи частния. Иначе по субективни наблюдения, root CA сертификатите обикновено ги правят с период на валидност 20-30 години, intermediate сертификатите с които подписват клиентските обикновено са валидни 10 години. Но дори при това положение, не виждам какъв е проблема. Просто като останат няколко години докато изтече root CA сертификата им, ще си генерират нов такъв, съответно ще подпишат с него нови subordinate CA сертификати и само  тях ще подписват всички нови клиентски CSR-и.  Няма да настъпи трагедия когато изтече notAfter за root сертификата, няма нужда да се revoke-ват и преподписват сума ти сертификати, всичко е просто въпрос на организация и всички такива проблеми се решават ако помислят навреме.
« Последна редакция: Jan 27, 2010, 16:12 от gat3way »
Активен

"Knowledge is power" - France is Bacon

vstoykov

  • Напреднали
  • *****
  • Публикации: 1286
  • Distribution: Ubuntu
  • Window Manager: Fluxbox
    • Профил
    • WWW
Пак им е изтекъл сертификата.

https://payments.nra.bg:4351/



« Последна редакция: Nov 01, 2010, 21:07 от vstoykov »
Активен

b2l

  • Напреднали
  • *****
  • Публикации: 4786
  • Distribution: MCC Interim
  • Window Manager: - // - // -
  • ...sometimes I feel like screaming... || RTFM!
    • Профил
    • WWW
Аз защо добавих моя и влязох???


PS: Ауу грешка - да изтекъл е :D.
Активен

"Човекът е въже, опънато между звяра и свръхчовека, въже над пропаст. Човекът е нещо, което трябва да бъде превъзмогнато." - Фр. Ницше

petar258

  • Напреднали
  • *****
  • Публикации: 345
  • Distribution: Ubuntu-mate 16.04, Windows 7
    • Профил
и може би не само аз не мога да проверя здравноосигурителния статус, може би админа им е в отпуск  ;D ;D ;D
Активен

petar258

  • Напреднали
  • *****
  • Публикации: 345
  • Distribution: Ubuntu-mate 16.04, Windows 7
    • Профил
а между другото часа на форума не е актуализиран
Активен

b2l

  • Напреднали
  • *****
  • Публикации: 4786
  • Distribution: MCC Interim
  • Window Manager: - // - // -
  • ...sometimes I feel like screaming... || RTFM!
    • Профил
    • WWW
а между другото часа на форума не е актуализиран

Моя е актуализиран.
Активен

"Човекът е въже, опънато между звяра и свръхчовека, въже над пропаст. Човекът е нещо, което трябва да бъде превъзмогнато." - Фр. Ницше

crystalwater

  • Напреднали
  • *****
  • Публикации: 147
  • Distribution: Linux Mint Maya
  • Window Manager: KDE
    • Профил
Искам да попитам, може ли издаден сертификат за Уиндоус от Банка ДСК да го прехвърля на Ubuntu 10.04?
Ако не може по този начин, как мога да си ползвам банкирането на Ubuntu?
Активен