it-swarm-tr.com

Süresi dolmuş SSL Sertifikası Uygulamaları

Süresi dolmuş bir SSL sertifikasının güvenlik üzerindeki etkileri nelerdir? Örneğin, güvenilir bir CA'dan bir SSL sertifikasının süresi dolmuşsa, iletişim kanalı güvenli kalmaya devam edecek mi?

36
Imran Azad

İletişim hala şifreli, ancak güven mekanizması zayıflar. Ancak genellikle en önemli faktör, kullanıcıların sitenizin güvenliği hakkında çirkin uyarı mesajları almasıdır. Çoğu, bağlantının bütünlüğü hakkında bilinçli yargılarda bulunmayacak, sadece başka bir yerde bir şeyler almaya gidecekler.

33
symcbean

Teorik olarak, süresi dolmuş bir sertifika, artık kullanılmaması gereken bir sertifikadır. Bu, sertifika doğrulama algoritmasındaki Internet X.509 Profili içinde açıkça belirtilir (bölüm 6.1.3, madde a.2). Uygulamada bunun iki sonucu vardır:

  1. Anahtar sahibi (sunucu) özel anahtarını gizli tutmalıdır. Özel anahtarın bir kopyasını alan herkes sunucuyu taklit edebilir. Bazı verilerin gizli tutulması tamamen acil değildir; Örneğin. yedeklerinizi nasıl yaptığınızı düşünmeniz gerekir. Sertifikanın süresi dolduktan sonra, ilgili ortak anahtar artık kullanılmayacağından sunucu anahtar gizliliği hakkında endişelenmeyi bırakabilir. (SSL istemcisi olarak süresi dolmuş bir sunucu sertifikasını kabul etmeye karar verirseniz, ilgili özel anahtarın sahip olduğu bir genel anahtarı kullanma riskini alırsınız kötü bir adam tarafından terkedilmiş ve yakalanmıştır.

  2. İptal diye bilinen bir şey vardır. Bir CA bir sertifikayı iptal ettiğinde, "evet, bu sertifikadaki imzam bu, ama hepimiz hiç imzalamamışım gibi davranalım" diyor. Tipik bir iptal durumu, özel anahtarın ele geçirildiği zamandır. CA, CRL (iptal edilen sertifikaların listesi) ve OCSP ARACILIĞIYLA VERDIĞI SERTIFIKALARIN IPTAL DURUMUNU SÜREKLI OLARAK YAYINLAR. (özel bir iptal durumu kontrol protokolü). Bir SSL istemcisinin kabul etmeden önce sunucu sertifikası iptal durumu hakkında bilgi alması gerekir (bir Web/HTTPS bağlamında, çoğu istemci rahatsız etmez). Kilit nokta, bir sertifikanın süresi dolduğunda CA'nın iptal durumunu izlemeyi bırakmasıdır (bu, CRL'nin süresiz olarak büyümesini önler). Bu nedenle, süresi dolmuş bir sertifikayı kabul eden bir müşteri, ömrü boyunca iptal edilmiş bir sertifikayı bilmeden kullanma riskini alır.

Peter Gutmann'ın dediği gibi , bir sertifikadaki geçerlilik tarihi sonu "sertifikanın yeniden yayınlanması için CA'nıza yenileme ücreti ödemeniz gereken zamanı belirtir". Ticari CA'nın iş modeli doğası gereği geçerlilik tarihinin sonunu onurlandıran müşterilere dayanır. Bu ayrıca , Web tarayıcılarının bir sertifikanın süresi dolduğunda neden korkunç uyarılar göstermeye istekli olduklarını açıklar.

32
Thomas Pornin

Pratik anlamda, son kullanma tarihine bakarım. Tarih sadece birkaç gün geçmişse, kişisel olarak buna güvenirim.

Ancak, son kullanma tarihinden sonra geçen sertifikalar tehlikeye girmiş olabilir ve güvenilmemelidir. (Aslında, sık kullandığınız bir site aniden oldukça uzun bir süre dolmuş bir sertifika gelirse, bu oldukça kırmızı bir bayraktır.)

IE- Sertifika dün sona ermişse, bağlantı dünden daha az güvenli değildir. Son kullanma tarihi geçtikten sonra otomatik olarak güvenli olmaz.

Ancak, çizgiyi bir yere çekmek zorundasınız ... ve son kullanma tarihi budur.

3
user606723

Bir sertifikanın süresinin dolması üzerine düşünülen bir başka şey de asimetrik anahtar algoritması sorununu ele alıyor. Bir ortak anahtardan özel anahtarı belirlemek mümkün mü? Peki cevap imkansız olmaktan ziyade mümkün değil. Genel olarak, bir bilgisayarın özel anahtarı ortak anahtardan bulması milyonlarca yıl alacaktır. Ama bir yıl boyunca milyon bilgisayar çalıştırırsanız. Özel anahtarla sonuçlanabilir ve şimdi bu özel anahtarı kullanmayı düşündüğünüzde, kullanıcının sertifikayı yenilediğini fark etmek gerçekten sinir bozucu olacaktır. (Bu, eski sertifikayı elinde tutmak için para ödediği anlamına GELMEZ, ancak bu yeni bir ortak anahtarla yeni bir sertifikanın mevcut olduğu ve milyon bilgisayarın çalışmalarına sıfırdan başlaması gerektiği anlamına gelir)

Btw, genel ve özel anahtar çiftleri üretmeye devam etmek ve bu veritabanını iki sütunlu bir tabloda bir veritabanında saklamak için tüm bu bilgisayarları kullanırsam ne olur? Özel anahtarı doğrudan girilen ortak anahtardan okuma şansı var mı?

1
krish