Aggiornamento 5 Il problema principale (eh) con il modello CA è che nella pratica generale, qualsiasi CA può emettere certificati per qualsiasi dominio, quindi sei vulnerabile al collegamento più debole. Per quanto riguarda le persone di cui ti puoi fidare, dubito che l'elenco sia molto lungo, poiché la posta in gioco è alta e la sicurezza è difficile. Raccomando il post di Christopher Soghoian sull'argomento, che chiarisce i vari approcci che i governi di tutto il mondo hanno utilizzato per ottenere l'accesso ai dati degli utenti privati, sia richiedendolo direttamente alle aziende che gestiscono servizi cloud, tramite intercettazioni telefoniche o sempre più ora tramite la coercizione CA o hack: leggera paranoia: le forze che hanno portato all'hacking di DigiNotar.
Qui fornisco alcune specifiche e concludo con collegamenti ad alcune potenziali correzioni.
Nel 2009, Etisalat (proprietà al 60% del governo degli Emirati Arabi Uniti), ha lanciato un innocuo Patch BlackBerry che inseriva spyware nei dispositivi RIM, consentendo il monitoraggio della posta elettronica, quindi difficilmente può essere considerata affidabile. Ma è in molti elenchi di CA affidabili: http://arstechnica.com/business/news/2009/07/mobile-carrier-rolls-out-spyware-as-a-3g-update.ars
Aggiornamento 1 Vedi anche un esempio di attacco riuscito, presumibilmente da parte di un iraniano di nome ComodoHacker, contro Comodo: Rogue SSL certificati ("caso comodogate") - F-Secure Weblog. F-Secure rileva che Mozilla include certificati emessi da CA in Cina, Israele, Bermuda, Sud Africa, Estonia, Romania, Slovacchia, Spagna, Norvegia, Colombia, Francia, Taiwan, Regno Unito, Paesi Bassi, Turchia, USA, Hong Kong, Giappone , Ungheria, Germania e Svizzera.
La Tunisia è un altro paese che gestisce una CA ampiamente attendibile e c'è anche una buona documentazione delle azioni del loro governo per invadere la privacy: The Inside Story of How Facebook Responded to tunisian Hacks - Alexis Madrigal - Tecnologia - L'Atlantico
Mozilla nota un'altra pratica discutibile a cui prestare attenzione: le CA che consentono a un partner RA di rilasciare certificati direttamente dalla radice, anziché tramite un intermediario: Comodo Certificate Issue - Follow Up at Mozilla Security Blog.
Vedi anche maggiori dettagli, comprese le speculazioni sulla rivendicazione di responsabilità da parte di un hacker iraniano solitario Browser Web e Comodo rivelano un attacco riuscito dell'autorità di certificazione, forse dall'Iran | Freedom to Tinker
Aggiornamento 3 : un altro attacco riuscito apparentemente anche da parte di ComodoHacker era contro la DigiNotar CA. Il loro sito web è stato compromesso a partire dal 2009, ma questo non è stato notato fino a quando DigiNotar è stato utilizzato anche nel 2011 dagli iraniani per firmare falsi certificati per i siti web di Google, Yahoo !, Mozilla, WordPress e The Tor Project. DigiNotar non ha rivelato di essere a conoscenza dell'intrusione nel suo sito per oltre un mese. Ulteriori informazioni su DigiNotar Hack evidenzia i guasti critici del nostro modello di sicurezza Web SSL | Libertà di armeggiare.
Immagino che la gamma di vulnerabilità di varie CA varia abbastanza ampiamente, così come la loro utilità. Quindi suggerirei di rimettere a fuoco la tua strategia. Quando puoi restringerlo a risorse specifiche che stai cercando di proteggere, elimina tutte le CA tranne quelle necessarie per l'utilizzo di tali risorse. Altrimenti, valuta la possibilità di eliminare le CA che ritieni più vulnerabili a coloro che hanno a cuore le tue risorse, o meno popolari, solo per ridurre la superficie di attacco. Ma accetta il fatto che rimarrai vulnerabile ad attacchi sofisticati anche contro le CA più diffuse e attente.
Aggiornamento 2 : c'è un ottimo post sulla riparazione della nostra pericolosa infrastruttura CA at Freedom to Tinker: Costruire una migliore infrastruttura CA
Parla di queste innovazioni:
Aggiornamento 4 Uno dei nostri IT I post del blog sulla sicurezza nell'agosto 2011 trattano anche il caso del passaggio a DNSSEC: Uno sguardo basato sul rischio per risolvere il problema dell'autorità di certificazione «Blog sulla sicurezza di Stack Exchange
Aggiornamento 6 Diverse autorità di certificazione sono state sorprese a violare le regole. Ciò include l'agenzia francese di difesa informatica (ANSSI) e Trustwave, ciascuna delle quali era collegata allo spoofing dei certificati digitali.
Aggiornamento 7 Ancora un altro set di "certificati emessi in modo errato", tramite l'Indian Controller of Certifying Authorities (India CCA) nel 2014: Blog sulla sicurezza online di Google: mantenimento della sicurezza dei certificati digitali
Vedi anche la domanda su Certificate Transparency, che sembra un approccio utile per scoprire in precedenza certificati non validi e violazioni delle norme.