Muss eine Zertifizierungsstelle (CA) ständig online sein?

1127
HappyDM

Muss eine Zertifizierungsstelle ständig online sein, damit das gesamte System funktioniert?

Wenn ich beispielsweise zu einer sicheren Webseite gehe, die ein von einer Zertifizierungsstelle signiertes Zertifikat verwendet, erhalte ich zusammen mit dem Inhalt der Webseite einen öffentlichen Schlüssel. Wenn ich dann Informationen an den Server zurücksende, werden diese mit dem von mir angegebenen öffentlichen Schlüssel verschlüsselt und schließlich über die mit ihrem privaten Schlüssel gesendeten Informationen entschlüsselt, und alles ist in Ordnung.

Gibt es einen Punkt in dem Verfahren, das ich (der Browser / die Anwendung) durch das Internet mit der Zertifizierungsstelle überprüfen muss, um sicherzustellen, dass das Zertifikat echt ist oder der angebliche öffentliche Schlüssel wirklich zur Website gehört? Wenn ich der Zertifizierungsstelle in der Vergangenheit vertraut / genehmigt habe, ist keine weitere Prüfung erforderlich?

Muss eine Zertifizierungsstelle im Allgemeinen ständig online sein, damit das gesamte Zertifikat / digitale Signatursystem funktioniert?

2

1 Antwort auf die Frage

3
BillThor

Die Zertifizierungsstelle muss nicht online sein. Das öffentliche CA-Zertifikat kann jedoch auf einen Webserver verweisen, der über Sperrlisten verfügt. Dies sollte online sein.

In den meisten Implementierungen ist eine Liste der öffentlichen Zertifizierungsstellenzertifikate installiert. Benutzer können sich normalerweise dafür entscheiden, einem Zertifikat auch ohne das Zertifikat der öffentlichen Zertifizierungsstelle zu vertrauen. Der Webserver stellt bei Bedarf sein öffentliches Zertifikat zur Verfügung. Abhängig von seiner Konfiguration kann es ein oder mehrere Zertifikate in der Kette an die öffentlichen Zertifikate der Zertifizierungsstelle senden. Dies kann das Zertifikat der Zertifizierungsstelle beinhalten.

Dieser Mechanismus kann für andere Protokolle verwendet werden, die auf TLS oder älteren SSL-Versionen basieren. Einige andere gebräuchliche Protokolle, die TLS verwenden, umfassen LDAPS, STMPS und IMAPS. Es ist üblich, dass Server der Basisprotokolle StartTLS unterstützen, bei denen das TLS auf dem normalen unverschlüsselten Port gestartet wird.

BEARBEITEN: Die meisten Zertifizierungsstellen verteilen die Zertifikate per E-Mail oder WebSite. Diese müssen online sein. Das Signaturzertifikat muss sich niemals auf einem mit dem Internet verbundenen System befinden. Es ist jedoch viel einfacher, das Sneakernet zu vermeiden und auf ein System zu stellen, das mit dem Internet verbunden ist. Dies ermöglicht eine schnellere Zeichenwende mit weniger manuellen Eingriffen. Wie wir gesehen haben, kann der Signaturschlüssel gestohlen werden.

Im Allgemeinen muss der Schlüssel niemals das System verlassen, auf dem er verwendet wird. Dies gilt entlang der gesamten Kette. Um den Schlüssel zu schützen, müssen die Zertifikate öffentlich zugänglich sein, um nützlich zu sein. Das Sichern von Schlüsseln auf einen sicheren Wechselspeicher ist eine Option, jedoch nicht ohne eigene Risiken.

Ein sicheres Passwort hilft jedoch für Zertifizierungsstellen, die große Mengen an Zertifikaten ausstellen, auf das Passwort kann möglicherweise ein Signaturskript zugreifen. Dies macht es einfacher, sowohl den Schlüssel als auch das Passwort zu erhalten.

Es ist möglich, den Signaturschlüssel der obersten Ebene offline zu halten und in einem Tresorraum zu sperren. Ein Schlüssel der zweiten Ebene kann zum Signieren von Zertifikaten verwendet werden. Das Zertifikat wird als Kettenzertifikat bereitgestellt. Die Wiederherstellung nach dem Verlust eines Schlüssels der zweiten Ebene ist einfacher als die Wiederherstellung nach dem Verlust des primären Signaturschlüssels.

Warum sehen wir dann ein paar Nachrichten über eine Zertifizierungsstelle, die beschädigt wurde und einige Zertifikate gestohlen wurden? Wenn CA nicht online sein muss, warum treten diese Angriffe auf? Majid Azimi vor 12 Jahren 0
Einzelheiten finden Sie unter BEARBEITEN. BillThor vor 12 Jahren 0

Verwandte Probleme