Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Hoe ontstaat een CA?

28-12-2011, 17:06 door Anoniem, 6 reacties
Beste Security-leden,

Als je een organisatie zou willen starten die SSL certificaten onder eigen naam uitgeeft. Hoe zou je dat dan moeten aanpakken?

Met vriendelijke groet,
Daniël
Reacties (6)
29-12-2011, 16:11 door Anoniem
The easy part:

http://www.debian-administration.org/articles/618

The hard part: automatisch vertrouwd worden in alle browsers. Maar de vraag is of je dat wilt, misschien moet je dat even verduidelijken?
02-01-2012, 12:16 door Nimrod
In principe is het opbouwen van een CA niet erg lastig. Je moet een selfsigned of signed certificate(door een andere CA) krijgen en zodoende andere certificaten gaan signen. Dit gaat erg makkelijk met een OpenSSL installatie op een Linux machine(Ubuntu, Debian, etc) maar het kan echter ook met Windows(weet niet hoe dit moet zo 1,2,3).

Het euvel ligt hem echter in het vertrouwen. Een CA is namelijk een 3e partij die wordt gebruikt om de public key(onderdeel van een certifcaat) van de server te verifiëren. Als een CA zegt dat het goed is dan vertrouwt de eindgebruiker dus volledig op een CA. Over dit vertrouwen wordt de laatste tijd veel gediscussieerd, kijk maar naar de hack op Comodo en DigiNotar.
02-01-2012, 13:55 door Anoniem
Trek er maar een leuk bedrag voor uit. Om toegevoegd te worden in de browsers / OS'en vandaag de dag zal je aan een aantal eisen moeten voldoen. Denk aan;
- Veilige (fysiek en logisch) omgeving waar je de private keys bewaard en beheerd incl offsite backup's met dezelfde beveiliging.
- Voldoende personeel om functiescheiding e.d. te realiseren. Zelf voor de meest basale (CA) zaken zijn tenminste twee personen nodig. Als ik het goed onthouden hebt, kan je met 7 fysieke personen (salaris???) een CA onderhouden volgens de regels.
- Onafhankelijke auditting e.d.
- Je 'inkopen' bij de betreffende instanties om je Root CA certificaat te distribueren.

Ga maar voorzichtig uit van een bedrag met 6 nullen.
02-01-2012, 20:45 door Anoniem
Klassieker: https://bugzilla.mozilla.org/show_bug.cgi?id=647959
Het CA systeem is 1 grote grap.

`'Honest Achmed’s Used Cars and Certificates Wants To Become a Trusted Certificate Authority"
03-01-2012, 14:58 door Anoniem
Huur een batterij juristen en andere dure adviseurs in die jouw geloofwaardigheid als CA kunnen vergroten. Want het technisch gedeelte is inderdaad het (relatief) simpele stuk, maar een CA die niet prominent op de kaart staat heeft geen business. Iedereen kan wel zeggen hij te vertrouwen is, maar wie ben jij dan wel?
04-01-2012, 22:15 door SLight
Je kan sowieso eigen certificaten gaan aanmaken en deze handmatig aan de whitelist van je browsers toevoegen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.