Kempovací vařič WINNERWELL Woodlander velikosti S = KACHLE NA DŘEVO S (stan-Mark DESIGN × WINNERWELL)

Pokud bychom chtěli vědět, jestli v určité doméně byly v minulosti vydány certifikáty SSL, které jsou CA zrušeny / které vypršely, existuje prostředek, který tyto informace obsahuje?

Asi ne.

Za prvé, z hlediska ochrany osobních údajů:

  • Pokud nejste oprávněným vlastníkem tohoto názvu domény, mohli vás vlastníci firewallem vyřadit ze svého serveru. Není vaší záležitostí vědět, zda mají nebo nemají certifikát pro hostitele, jeden z jeho aliasů CNAME nebo něco podobného. Považoval bych CA za únik tohoto druhu informací za to, že do určité míry uvolňuje soukromá data (ne ve smyslu veřejného / soukromého klíče).
  • Pokud jste vlastníkem služby, měli byste si možná vést lepší záznamy. Z podobných důvodů skutečnost, že nyní máte pod kontrolou název domény, ještě neznamená, že jste například byli jeho vlastníkem před několika lety.

To je řečeno, za předpokladu, že se jedná o hostitele, který je veřejně viditelný, můžete být schopni dotazovat se na notáře používané systémy, jako je Convergence, které vám pomohou najít řadu certifikátů, které mohly být platné pro název hostitele, ale ne nutně všechny z nich.

Stále je možné mít více certifikátů od více CA (komerčních nebo interních), všechny platné současně. Skutečnost, že jeden uživatel vidí platný certifikát od konkrétního CA, neznamená, že jiný neuvidí další certifikát, rovněž platný, od stejného nebo jiného CA. To se může stát na velkých webech (které by například používaly rozložení zátěže DNS), jak je znázorněno v této otázce Security.SE.

Kromě toho může kdokoli vydat certifikát pro libovolného hostitele. Mohu vystavit certifikát pro google.com pomocí několika příkazů OpenSSL za 2 minuty. Žádné hackování. Problém je v tom, že budu jediný, kdo ten certifikát uzná za platný.

Pracoval pro vás: Charles Robertson | Chcete nás kontaktovat?