Question:
Pourquoi ne faisons-nous pas confiance à un certificat SSL qui a expiré récemment?
sharptooth
2013-02-25 11:47:35 UTC
view on stackexchange narkive permalink

Chaque certificat SSL a une date d'expiration. Supposons maintenant que le certificat d'un site ait expiré il y a une heure ou un jour. Par défaut, tous les logiciels refusent simplement de se connecter au site ou émettent des avertissements de sécurité.

Ceci est arrivé récemment au stockage Windows Azure et comme la plupart des logiciels des services dépendants sont par défaut le refus de connecter de nombreux services a subi une dégradation majeure.

Quelle est la logique ici? Je veux dire, il y a un jour, le certificat était valide et tout le monde était heureux de l'utiliser. Maintenant, un jour plus tard, elle a officiellement expiré et personne ne l'aime plus.

J'ai lu cette réponse et je ne la trouve pas convaincante pour ce cas particulier. Pour chaque modèle de sécurité, il existe un modèle de menace.

Quel est le modèle de menace ici? Qu'est-ce qui aurait pu se passer entre maintenant et il y a un jour pour qu'un certificat soit considéré comme inutilisable à tel point que nous refusions même de nous connecter au site?

Souhaitez-vous boire dans un carton de lait qui est à peine deux jours après sa date de péremption?
@Shadur: Jamais entendu parler d'empoisonnement par un certificat SSL.
Je ne serais pas surpris si la révocation des certificats cessait de fonctionner à ce stade. Pas besoin d'informer le client de la révocation, car elle est déjà expirée et donc invalide.
@Shadur bien sûr, mais vous sentez d'abord le lait pour vérifier s'il est éteint. Sinon, vous le goûtez provisoirement. Si le lait n'est pas éteint, vous utilisez le lait.
@Shadur Absolument, et davantage de gens devraient - beaucoup trop de nourriture parfaitement bonne est gaspillée sur cette planète.
@Smalltown2k Je doute qu'il y ait un test d'odeur pour un certificat compromis qui soit presque aussi fiable que celui du lait aigre.
J'ai récemment bu des Tylenols qui ont expiré en 2006. Maux de tête disparu. C'est ma bouteille "à vie".
[Shelf-life] (http://en.wikipedia.org/wiki/Shelf_life) est le nom ... et les certificats SSL n'ont pas de durée de conservation
@zigg était d'accord, il y a un risque mais ce n'est pas une raison de radier tout le lait. Cela dépend du lait que vous reniflez, je ne serais pas aussi confiant avec la viande après sa date. La métaphore se traduit par la sécurité, je pense.
@woliveirajr En êtes-vous sûr? Microsoft vient d'arrêter d'accepter les certificats RSA 512 bits dans IE il n'y a pas si longtemps. Ils étaient autrefois «frais».
@zigg: Je ne suis pas sûr d'avoir compris votre argument. Vous parlez de cet [avis de sécurité] (http://support.microsoft.com/kb/2661254/en-us)? Que les certificats RSA 512 bits, bien que non expirés, n'étaient plus acceptés, car Microsoft en avait décidé ainsi? Ce n'est pas grave, MS peut décider quoi accepter ou non, et ses utilisateurs décident d'appliquer ou non la mise à jour. L'émetteur peut également déclarer que, dans certaines circonstances, le certificat est révoqué, avant son expiration ...
@woliveirajr Vous ne pouvez pas ignorer le fait que toutes les clés privées ont des durées de vie finies avec un blithe "parce que Microsoft l'a décidé." Vous seriez idiot d'utiliser un certificat de 512 bits en 2013, plus encore d'utiliser celui que vous avez généré et publié lorsque les certificats de 512 bits étaient encore acceptables.
@zigg: oui, je suis totalement d'accord avec ça. Le point de la question, du commentaire, de la réponse, etc., est que lorsqu'un certificat est expiré, il n'a pas de sens de continuer à l'utiliser, comme s'il avait une durée de vie. Cela ne signifie pas que tous les certificats doivent être approuvés les yeux fermés simplement parce qu'ils n'ont pas encore expiré.
@woliveirajr D'accord, je pense que nous parlions à contre-courant… À votre propos, oui, c'est vrai, la non-expiration n'assure pas le non-compromis; loin de là. Mais c'est un mécanisme utile pour garder les paires de clés à jour, si vous voulez.
@Shadur, Quel est le problème avec ça? Cela se fait tout le temps.
Dix réponses:
Thomas Pornin
2013-02-25 18:43:06 UTC
view on stackexchange narkive permalink

Lorsqu'un certificat a expiré, son statut de révocation n'est plus publié. Autrement dit, le certificat a peut-être été révoqué depuis longtemps, mais il ne sera plus inclus dans la CRL. La date d'expiration du certificat est la date limite pour l'inclusion dans la CRL. C'est la raison officielle pour laquelle les certificats expirent: pour limiter la taille des CRL.

(La raison non officielle est de faire payer aux propriétaires de certificats des frais annuels.)

Vous ne pouvez donc pas faire confiance à un certificat expiré car vous ne pouvez pas vérifier son état de révocation . Il a peut-être été révoqué il y a des mois, et vous ne le sauriez pas.

Votre * raison non officielle * ne correspond pas aux certificats auto-signés (gratuits) qui doivent également expirer!
Eh bien, je suis en train de renouveler mon certificat SSL gratuit, et c'est tellement ennuyeux que j'envisage sérieusement de passer à une autorité de certification non libre. Je soupçonne StartSSL de le faire exprès (les certificats gratuits sont de la publicité, pour attirer l'attention).
Utilisez-vous ou avez-vous déjà essayé la suite [* OpenSSL *] (http://www.openssl.org/)?
Vous sauriez que la révocation était récente parce que vous vous souviendrez que cela a fonctionné hier ou la semaine dernière.
@ThomasPornin - ouais, personnellement, j'adore StartSSL, mais j'utilise également leur option vérifiée de niveau 2. C'était toujours le certificat générique le moins cher que j'ai pu trouver. Sachez également qu'ils utilisent en fait un système d'authentification basé sur des certificats côté client pour leurs comptes.
@ThomasPornin Puis roulons notre propre CA non commercial - [avec blackjack et talonneurs] (https://www.youtube.com/watch?v=z5tZMDBXTRQ)
@Kaz et si c'était la première fois que vous voyiez ce certificat?
Ce n'est qu'à moitié vrai, dit RedHat: [Par défaut, les CRL ne contiennent pas d'informations sur les certificats expirés révoqués. Le serveur peut inclure des certificats expirés révoqués en activant cette option pour le point d'émission.] (Https://access.redhat.com/documentation/en-US/Red_Hat_Certificate_System_Common_Criteria_Certification/8.1/html/Admin_Guide/Revocation_and_CRLs.html#Revocation) Microsoft également dit [... Vous pouvez activer un paramètre de registre sur une autorité de certification pour vous assurer que les certificats révoqués qui ont expiré ne sont pas supprimés de la CRL.] (http://technet.microsoft.com/en-us/library/cc737180%28v = ws.10% 29.aspx)
Certaines autorités de certification peuvent inclure des certificats expirés dans la CRL, sous réserve d'une date limite postérieure à la date d'expiration du certificat (et éventuellement infiniment éloignée dans le futur), mais c'est spécifique à l'autorité de certification, et les vérificateurs ne peuvent pas compter dessus à moins qu'elle ne soit documentée comme une extension CRL appropriée. Il n'y a pas d'extension standard pour cela (il existe cependant une extension spécifique à Microsoft). La coupure ajustable est une bonne idée, mais il s'agit toujours d'une date d'expiration (expiration sur les informations de révocation, pas sur le certificat lui-même), et ne peut pas être utilisée de manière fiable jusqu'à ce qu'elle soit largement prise en charge (et pour le moment, ce n'est pas le cas).
Lien @TobiasKienzler, cassé. Ça parles de quoi?
@Pacerier Aww, copyright idiot ... [Ici] (https://www.youtube.com/watch?v=BGi6Q1pNbS0) est un autre go, ou [kym] (http://knowyourmeme.com/memes/im- va-construire-mon-propre-parc-thématique-avec-blackjack-et-putes). Non pas que la vidéo ait contribué à cette réponse: P
@TobiasKienzler, Je ne reçois pas du tout le lien. De quoi s'agit-il?
@Pacerier Je répondais au [commentaire de Thomas] (http://security.stackexchange.com/questions/31463/why-do-we-not-trust-an-ssl-certificate-that-expired-recently/31482?noredirect = 1 # comment48658_31482) à propos de l'inconvénient des CA "gratuits" avec "alors dirigons notre propre CA" mais pour essayer d'être drôle en citant le bon vieux Bender's "je vais créer mon propre parc, avec du blackjack et des putes. En fait, oubliez le parc et le blackjack "...
@ThomasPornin, en fait, il existe une extension standard lors de l'interrogation de l'état du certificat via un service OCSP.Voir RFC 6960, "4.4.4. Archive Cutoff".
Sam Whited
2013-02-25 12:03:25 UTC
view on stackexchange narkive permalink

Une bonne question. La réponse la plus simple est que d'avoir une date d'expiration garantit que vous avez un "audit" de temps en temps. S'il n'y avait pas de date d'expiration et que quelqu'un cessait d'utiliser un certificat (et de protéger la clé privée), personne ne le saurait jamais. Cependant, en ayant une date d'expiration, vous vous assurez que l'utilisateur retourne à l'entreprise qui lui a vendu le certificat SSL et lui paie beaucoup plus d'argent, je veux dire, qu'il a un audit et qu'il est re-validé en tant que personne ou service qu'il prétend. be (je vais essayer de ne pas tenir compte du modèle de sécurité Internet actuel).

Le problème devient alors: si vous allez avoir une période de grâce dans laquelle vous ignorez les certificats expirés, combien de temps cela dure-t-il? Un jour? Une semaine? Un mois? À un moment donné, vous devez simplement cesser de faire confiance au certificat; si vous faites ce point un jour après l'expiration, vous pouvez toujours vous demander: "Qu'est-ce qui aurait pu se passer entre aujourd'hui et hier?" Et vous tombez dans une boucle.

En gros, vous avez raison: les gens n'arrêtent pas comme par magie de protéger leurs clés privées dès que la date d'expiration arrive (ou ils ont peut-être cessé de les protéger il y a longtemps et personne ne le sait parce qu'ils ne les ont pas révoqués et qu'ils n'ont pas encore expiré). La date d'expiration ne dit rien sur la sécurité du certificat, mais si vous n'avez pas de limite, vous ne saurez jamais qu'un certificat peut être oublié alors qu'avec un certificat vous en savez au moins autant .

+1 pour "Si vous prévoyez une période de grâce pendant laquelle vous ignorez les certificats expirés, combien de temps dure-t-elle?". C'est la vraie raison, je crois, pour laquelle une période de grâce ne fonctionnerait jamais: elle prolonge simplement artificiellement la période de validité, ce qui signifie que vous pouvez tout aussi bien utiliser une période de validité plus longue pour commencer. Quel logiciel * tous * implémenterait de la même manière.
Attention, le "beaucoup d'argent" est un peu hyperbole; rapidssl ne facture pas plus de cent dollars pour un certificat de deux ans ...
Il est également intéressant de noter que les autorités de certification exécutent une infrastructure pour valider vos certificats, cette infrastructure a des coûts de fonctionnement, donc demander aux gens de renouveler les certificats de temps en temps est bon pour leur entreprise et permet que tout fonctionne.
@Shadur +1 pour RapidSSL; Je les utilise sur tous mes sites et ils ont été une joie de travailler avec (le modèle de sécurité est peut-être cassé, mais au moins il y a de bonnes entreprises qui n'essaieront pas de vous baiser à chaque tournant). .. Comme vous pouvez l'imaginer, j'ai eu de mauvaises expériences avec d'autres fournisseurs dans le passé, alors pardonnez ma petite blague dans la réponse :)
Juste mon 2c ... Si vous êtes un client assez gros, vous pouvez également obtenir des certificats VeriSign "normaux" (non EV, etc.) pour <100 $ / an. Les certificats Verisign Internal sont encore moins chers, à environ 1/4 du prix.
+1. On * pourrait * concevoir une période de grâce qui serait plus qu'une simple extension de la période de validité: ce serait une période pendant laquelle le certificat fonctionnerait, mais avec un avertissement. Cependant, la question est de savoir si le coût de l'augmentation de la complexité en vaudrait la peine. Pour que la période de grâce soit effective, tous les logiciels entre le serveur certifié et l'utilisateur final devraient comprendre et prêter attention à cette nuance supplémentaire. Actuellement, la plupart des logiciels ne vous disent même pas si un certificat est expiré ... il donne juste une erreur de connexion.
@LarsH Supposons que vous vous intéressiez aux communications d'ordinateur à ordinateur (disons services Web, transfert de courrier électronique, ...) plutôt qu'à utilisateur à ordinateur (peut-être mais pas nécessairement à la navigation Web). Où doit aller l'avertissement pour être efficace?
@Michael Droite - si conduire 10 km / h au-dessus de la limite de vitesse de 100 km / h est écarté, tout le monde conduit 110 et se plaint du ticket qu'ils obtiennent à 113 parce qu'ils «n'avaient que 3 ans». La même inflation s'applique.
@MichaelKjörling: Cela dépend de ce que chaque composant logiciel fait avec les informations. C'est pourquoi je dis que tous les logiciels entre le serveur certifié et l'utilisateur final - y compris les connexions C2C - devraient comprendre et payer attn. Ce qu'ils doivent faire avec les informations d'avertissement nécessite des décisions de conception distinctes pour chaque logiciel. Cela ne semble pas être quelque chose qui volerait très bien.
@LarsH: Que diriez-vous d'une autorité de certification fournissant un mécanisme pour la routine de contrôle d'expiration gardée par Captcha qui serait garanti utilisable pendant un mois après l'expiration du certificat, de sorte que quelqu'un qui voulait s'assurer que sa connexion à https: //mybank.example. com` était légitime de le faire, au prix d'un peu d'effort, même si le certificat était expiré, mais aucun propriétaire de certificat ne voudrait que les clients subissent ce problème.
@supercat Personne ne voudrait s'occuper des tracas, comme vous l'avez dit, cependant, c'est essentiellement la même chose que d'afficher simplement un avertissement "Ce service utilise un certificat expiré" et de laisser l'utilisateur cliquer. Si le client est assez averti pour vérifier avec un captcha ou assez ignorant juste pour cliquer, il est assez averti (ou assez ignorant) pour simplement appuyer sur le bouton "d'accord, acceptez ce certificat même s'il est expiré".
@SamWhited: Que diriez-vous de demander aux autorités de certification de fournir des fonctions distinctes «Répertorier les certificats actuels qui sont révoqués» et «Répertorier les certificats récemment expirés qui sont révoqués», mais que cette dernière fonctionne beaucoup plus lentement que la première? Si cette dernière fonction signalait la coupure où les certificats seraient supprimés, les navigateurs pourraient informer les gens que leur connexion fonctionnait lentement car le certificat était expiré, mais qu'il était néanmoins sécurisé.
Je ne comprends toujours pas vraiment l'intérêt de vouloir faire cela, mais bien sûr; vous pouvez maintenir deux CRL et ajouter quelque chose à OCSP. Il ne sert à rien d'avoir une période de grâce ou une période d'échec progressif.
@SamWhited: L'idée serait d'avoir un mécanisme de service dégradant suffisamment pour que les entreprises soient fortement incitées à renouveler leurs certificats en temps opportun, mais en même temps s'assurer que les défaillances momentanées n'affaiblissent pas la sécurité.
@supercat Cela ressemble à une suringénierie pour un problème qui n'existe pas pour moi. Si une entreprise ne peut pas être dérangée pour renouveler ses certificats à temps, je doute qu'un avertissement précoce puisse faire quoi que ce soit. Il s'agit essentiellement de repousser la date d'expiration (mais avec un échec logiciel au lieu d'un échec dur).
@SamWhited: J'ai rencontré des certificats SSL ayant échoué en tant qu'utilisateur, mais ils ont été corrigés assez rapidement. Les sites qui n'ont pas de mise à jour automatisée des certificats ne sont probablement pas ceux où la sécurité est un problème très chaud, mais d'un point de vue philosophique, il semblerait préférable qu'un système reste sécurisé si cela est possible.
@supercat Je ne suis pas en désaccord, je ne pense pas nécessairement que ce genre de système aiderait. Les commentaires ne sont probablement pas le meilleur endroit pour en discuter. Envoyez-moi un ping sur le chat si vous voulez vraiment continuer cette conversation.
zigg
2013-02-25 18:43:24 UTC
view on stackexchange narkive permalink

S'il y avait une période de grâce universelle de cinq jours, personne ne remarquerait l'expiration des certificats avant cinq jours plus tard, vous laissant avec un effet net identique au refus immédiat d'un certificat expiré. C'est le fait que les connexions SSL cessent de fonctionner qui crée la pression.

Je pense qu'il serait plus productif pour les applications clientes SSL d'avertir bruyamment de l'expiration imminente d'un certificat, de sorte que les utilisateurs de ces applications puissent faire pression sur leur fournisseurs de services à l'avance.

+1 pour que les applications clientes émettent un avertissement avant l'expiration du certificat, quel que soit le protocole officiel de période de grâce. (Éteint, bien sûr!)
+1 pour la surveillance, mais cela ne fonctionne que si les messages atteignent une personne, et les avertissements qui vont dans les journaux doivent encore être remarqués. Tous nos certificats de serveur Web sont surveillés par nagios pour les dates d'expiration, le texte rouge retient beaucoup l'attention. Et l'autorité de certification émettrice envoyait probablement des e-mails à quelqu'un à des intervalles de 60/30/15/7/1 jours au sujet de l'expiration de toute façon.
@james Félicitations à vous pour avoir regardé vos certificats et les CA qui vous avertissent aussi, mais je pense que mon argument est valable: si les * clients * commençaient à se plaindre, alors les fournisseurs de services qui n'étaient pas tout à fait au courant des choses auraient une pression externe pour obtenir leurs actes ensemble avant que les problèmes ne commencent.
Jusqu'à ce que quelque chose explose et cesse de fonctionner, je doute que plus qu'une fraction extrêmement infime de clients ne dise quoi que ce soit. Cliquer sur ignorer ou revenir dans un jour ou deux en supposant que l'administrateur travaille sur le problème représente beaucoup moins d'efforts que d'essayer de trouver comment contacter un administrateur de site pour signaler le problème.
Il peut y avoir une tâche périodique qui s'exécute quotidiennement, qui parcourt le magasin de certificats et génère des avertissements pour tous les certificats sur le point d'expirer.
@DanNeely Bon point. Parfois, je suis un peu trop optimiste, hein.
dr jimbob
2013-02-26 00:14:52 UTC
view on stackexchange narkive permalink

Je suis d'accord que le système actuel n'est pas optimal.

Un meilleur système de certificats pourrait avoir une période d'état "jaune" pour les certificats qui sont sur le point d'expirer ("vert" étant un certificat valide, et "rouge" "étant un certificat expiré), expirant dans un délai d'un mois. Chaque certificat de N ans expirerait après N ans + 1 mois, bien qu'ils soient idéalement mis à jour dans la période de N ans. Cependant, au cours du dernier mois, chaque application qui utilise un certificat doit présenter un avertissement léger à l'utilisateur. Pour la navigation Web, vous pouvez faire quelque chose comme colorer l'URL en jaune au lieu de vert - avec un message de survol / clic à l'effet:

Le certificat de ce site Web expirera le 25 mars 2013 et doivent être mis à jour par le propriétaire du domaine avant leur expiration. Le certificat est toujours parfaitement valide et devrait être entièrement fiable à cette date, mais les applications qui reposent sur ce certificat cesseront de fonctionner le 25 mars 2013 si le certificat n'est pas mis à jour d'ici là.

Serait-ce parfait? Probablement pas, car certaines applications peuvent ne pas transmettre ces messages à l'utilisateur et la date d'expiration sera toujours atteinte. En outre, il doit y avoir un accord codifié dans une norme pour savoir combien de temps avant l'expiration des certificats qu'ils doivent être mis à jour (un jour? Une semaine? Deux semaines? Un mois?). Mais cela semble définitivement être une amélioration.

(Certes, je suis d'accord que Microsoft a vraiment laissé tomber le ballon quand ils ont laissé leur certificat Azure expirer - c'est un signe d'incompétence pour une plate-forme essayant de prendre en charge les applications d'entreprise ).

Cela devrait être la réponse choisie.
H.-Dirk Schmitt
2013-02-25 16:19:50 UTC
view on stackexchange narkive permalink

La réponse est aussi simple que l'entreprise: "La facture n'est pas payée"

L'autorité de certification prétend pour une période de temps distincte que ce certificat est valide. Mais cela ne dit pas grand-chose sur la confiance de l'autorité de certification et les processus par le propriétaire du certificat.

Shadur
2013-02-25 16:49:23 UTC
view on stackexchange narkive permalink

Cela a à voir avec la perception et les pratiques de sécurité appropriées.

Lorsque vous créez un certificat avec, par exemple, une expiration d'un an, vous dites essentiellement "Nous ne pouvons pas garantir l'intégrité du certificat pour plus d'un an, nous allons donc déployer un nouveau certificat avant cette date . "

Ainsi, un site avec un certificat expiré est un signe que les administrateurs ne l'ont pas fait tenir leur promesse de renouveler dans le délai fixé pour eux-mêmes, ce qui suggère de mauvaises pratiques de sécurité.

C'est la même raison pour laquelle vous attrapez l'enfer pour manquer une inspection de voiture même si votre voiture semble être fonctionne bien, ou pourquoi les produits ont une date de péremption.

1) En utilisant une suite de chiffrement sécurisée sans transfert, vous devez garantir le secret de la clé privée même après l'expiration du certificat. 2) Des compromis se produisent à des moments aléatoires, vous ne pouvez donc pas dire "Je peux garder la clé en sécurité pendant un an". Votre comparaison des denrées périssables ne vous convient donc pas.
woliveirajr
2013-02-25 23:48:32 UTC
view on stackexchange narkive permalink

La durée de conservation peut être une chose intéressante pour certains produits: le fabricant déclare qu'il garantit que le produit sera valide pendant un certain temps mais il ne peut pas garantie que les propriétés d'origine seront présentes si vous consommez le produit après cette période.

Un certificat a la même chose: il a une période où l'émetteur déclare qu'il est valide. Pendant ce temps, le certificat devrait être correct. Et si ce n'est pas le cas, il y aura un rappel à ce sujet: une liste de révocation par l'émetteur dira au monde entier "Ne faites plus confiance à ce certificat, car d'une manière ou d'une autre, il pourrait être compromis".

Après la date d'expiration, l'émetteur ne gardera plus trace de ce certificat: il a dépassé la date à laquelle il était bon, donc quiconque lui fait encore confiance devrait le faire uniquement sur sa croyance, pas sur l'émetteur (ou quelqu'un d'autre) .

Après la date d'expiration, le certificat n'est pas mauvais, cassé, malodorant ... il n'est plus garanti d'avoir été révoqué. Et pourquoi ne faisons-nous pas confiance à un certificat SSL qui a expiré récemment , c'est parce que nous voulons la sécurité et que nous utilisons des certificats pour garantir quelque chose. Si nous ne pouvons pas être sûrs s'il a été (ou serait) révoqué , vous ne pouvez pas être sûr qu'il a été compromis, et vous ne disposez d'aucune sécurité qui l'utilise ...

Jan Schejbal
2013-02-25 18:47:53 UTC
view on stackexchange narkive permalink

Outre les choses déjà mentionnées (il est bon de changer régulièrement ces clés, les CA veulent être payés, ré-auditer l'identité, etc.), il y a aussi une raison technique. Les navigateurs vous informent qu'ils ne peuvent pas vérifier la validité du certificat.

Les certificats peuvent être révoqués, c'est-à-dire marqués comme invalides, au cas où leurs clés seraient compromises, l'AC signale qu'ils ont été mal émis, etc. Ces informations de révocation sont garantie d'être fournie pendant la période de validité, mais pas après. Cela permet de réduire la taille des CRL (Certificate Revocation List). Bien que les CRL soient rarement utilisées aujourd'hui dans SSL basé sur un navigateur, cela pourrait également affecter d'autres moyens de vérifier la validité.

Pour cette raison, l'application de la date de validité a un sens technique et n'est pas effectuée uniquement parce que "les certificats devraient être renouvelé pour garantir que les nouvelles vérifications "et" les CA veulent être payés ".

Qu'est-ce que cette réponse ajoute par rapport à [celle de Thomas Pornin] (http://security.stackexchange.com/a/31482/2138)?
Nux
2013-02-25 21:34:15 UTC
view on stackexchange narkive permalink

La définition de la date d'expiration des certificats est effectuée pour à peu près la même raison que vous devez changer votre mot de passe de temps en temps et avoir une politique pour que les utilisateurs le changent de temps en temps. Pas toujours nécessaire , mais cela peut parfois s'avérer utile.

Par exemple, votre ancien employé ayant votre poste de CA (interne) pourrait signer son site Web de phising et vous ne remarquerez aucune différence sur le tout entre son site et votre site bancaire (y compris votre navigateur indiquant que la connexion est sécurisée). Avoir une date d'expiration au moins sur l'autorité de certification interne vous oblige à la modifier de temps en temps et à éviter cela.

Vous pouvez toujours dire "Je m'en fiche" et définir la date du certificat sur par exemple. 2300 (si vous êtes propriétaire de CA). Bien sûr, des autorités commerciales externes voudront peut-être vous faire définir la date d'expiration de votre licence ;-).

Chloe
2013-02-26 04:47:38 UTC
view on stackexchange narkive permalink

Cela dépend de ce que vous sécurisez. C'est relativement sûr. Cela équivaut à une attaque de type zero-day, homme au milieu. Un attaquant devrait savoir que le certificat a expiré, savoir que vous utilisez ce certificat et s'insérer entre vous et le serveur en l'espace de quelques jours. Si vous gardez des secrets nucléaires, il est trop risqué de faire confiance. Si vous envoyez votre numéro de carte de crédit, ce serait ok pour quelques jours ou semaines (pas que vous soyez responsable de toute façon). Si vous bloguez sur les dictateurs en Iran, alors que vous êtes en Iran, vous risquez votre vie et cela ne vaut peut-être pas la peine.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...