Центр сертификации (CA) должен постоянно быть онлайн?
CA должен быть онлайн все время для целой системы для работы?
Например, если я перехожу к безопасной веб-странице, которая использует сертификат, подписанный CA, я получаю открытый ключ наряду с содержанием веб-страницы. Затем когда я передаю информацию обратно серверу, она шифруется с открытым ключом, который мне дали и наконец дешифровали через информацию, которую я отправил с их закрытым ключом, и все прекрасно.
Существует ли точка в процедуре, что я (браузер/приложение) должен послать багажом Интернет с CA, чтобы гарантировать, что сертификат реален, или подразумеваемый открытый ключ действительно принадлежит веб-сайту? Или если я доверял/утверждал, что CA в прошлом не является никакой другой необходимой проверкой?
Обычно CA должен быть онлайн все время для целой системы сертификата/цифровой подписи для работы?
1 ответ
CA не должен быть онлайн. Однако сертификат общественности CA может указать на веб-сервер, который имеет списки аннулирования. Это должно быть онлайн.
Большинство implemenatations имеет список общедоступных установленных сертификатов CA. Пользователи могут обычно решить доверять сертификату даже без общедоступного сертификата CA. Веб-сервер предоставит свой общедоступный сертификат при необходимости. В зависимости от его конфигурации это может сервер один или несколько сертификатов в цепочке к общедоступным сертификатам CA. Это может включать сертификат CA.
Этот механизм может использоваться для других протоколов на основе TLS или более старых версий SSL. Некоторые другие общие протоколы с помощью TLS включают LDAPS, STMPS и IMAPS. Серверам основных протоколов свойственно поддерживать StartTLS, где TLS запускается на нормальном незашифрованном порте.
Править: Большая часть АВАРИИ распределяет сертификаты по электронной почте или WebSite. Они должны быть онлайн. Нет никакой потребности в сертификате подписания, чтобы когда-либо быть в системе, подключенной к Интернету. Однако намного легче избежать Sneakernet и поместить его на систему, подключенную к Интернету. Это позволяет более быстрый благоприятный поворот подписания с меньшим количеством ручного вмешательства. Как мы видели, это действительно позволяет ключу подписи быть украденным.
В целом ключ никогда не должен оставлять систему, в которой он используется. Это применяется полностью вдоль цепочки. То, что важно, должно защитить ключ, сертификаты должны быть публично доступными, чтобы быть полезными. Помещение включает безопасное съемное устройство хранения данных, опция, но не без ее собственных рисков.
Наличие безопасного пароля помогает, но для Центров сертификации, кто выпускает большие объемы сертификатов, пароль может быть доступен для сценария подписания. Это помогает получить и ключ и его пароль.
Хранение высокоуровневого ключа подписи офлайн и запертый в хранилище возможно. Второй ключ уровня может использоваться для подписания сертификатов и его сертификата, предоставленного как цепочечный сертификат. Восстановление с потери второго ключа уровня легче, чем восстановление с потери основного ключа подписи.