Hei!
Loman vietosta suoraan asiaan, twitterin kautta tätä on tullu seurailtua.
Case "comodogate", erään juuri-CA:n (Komodo) alihankkija hakkeroitiin. Salausavaimet meni hakkereille
=> Komodo purki luottamuksen tuohon alihankkijaan oikein laittamalla CRL-päivityksen jossa alihankkijan allekirjoittamat sertit asetetaan pannaan(CRL). Näin kaikki selaimet joissa oli CRL-päivitys OCSP-protokollalla olivat heti turvassa.
Kuitenkin selainten OCSP -protokollan asetukset vaihtelevat(ei ole kaikissa oletuksena päällä) ja siksi esim. MS päätti julkaista CRL-päivityksen turvapäivityskanavan kautta(Microsoft update).
Selainten luottamuksen saa ostettua rahalla. IE:n osalta oman serttisi lisääminen luotettujen juuri-CA:iden listalle maksaa n. 65 000 euroa. Mozillan, Safarin ja Chromen hintoja en tiedä. Se, miten juuriCA-hakijan tietojen tarkastaminen tehdään, onkin mielenkiintoinen pointti. Tästäkään ei ole tarkkoja selainkohtaisia tietoja.
Summarum :
Loppukäyttäjän osalta OCSP on hyvä laittaa päälle. Päivityksiä on tähän asti tullut erittäin vähän(muutama). Mutta jatkossa tahti voi kiihtyä.
Selaimia tekevien osalta ongelmaksi muodostuu palvelinpään kuormitus. Jos esim. kaikki miljoonat macit/iphonet/ipadit alkavat tekemään jokaisen SSL-sivuston avaamisen yhteydessä OCSP-kyselyn ko. SSL-sertifikaatista, saa apple pistää aika monta serveriä pystyyn.
EDIT: tässä tuli puhuttua läpiä päähän. CRL -listan distribution point näyttää olevan CA-kohtainen, eli muuttunut CRL haetaankin tässä tapauksessa CA:n sivuilta. Kaiken lisäksi OCSP stapling -niminen ominaisuus yrittää varmistaa että muuttunut CRL ei aiheuta tuon CRL distribution pointin tukehtumista OCSP-kuorman alle.
![[:$]](./images/smilies/icon_redface.gif "Punastuu")
SSL-serttien hankkijoiden näkökulma :
Noin yleensä sertifikaatin hakijan tarkastamisen prosessit vaihtelevat niin paljon että sertin ostaminen on väärä paikka säästää jos kriittinen liiketoiminta perustuu internetin kautta asioivan asiakkaan luottamukseen (verkkokauppa, verkkopankki, ...). Tällöin on hyvä ostaa sertit esim. verisigniltä / thawtelta ym. hyvämaineiselta yritykseltä, mieluusti maksasisin lisää EV-sertistä jotta asiakkaalla näkyisi osoiterivillä vihreä väri.
Itse kavahtaisin jos verkkopankin sertifikaatin olisi myöntänyt joku "GoDaddy"
Toivottavasti tämä helpotti Kallea?
-Securapple
)
![[:|]](./images/smilies/icon_neutral.gif "Neutraali"){kind=icon}
