Vlákno názorů k článku Cert Spotter: jednoduché sledování vydaných HTTPS certifikátů od dw - "Trvalé sledování CT logů může pomoci včas odhalit...
-
dw (neregistrovaný)
"Trvalé sledování CT logů může pomoci včas odhalit kompromitaci vlastních systémů, je však potřeba dobře odfiltrovat legitimní obnovy certifikátů. Jednou z možností je třeba obnovovat certifikáty kolem nějakého pevného data."
Preco? Zistit ci podpisany certifikat obsahuje verejny kluc, ktory patri k sukromnemu klucu, je podla mojich skusenosti trivialne. Nestaci jednoducho upozornovat na certifikaty ku ktorym nemame sukromne kluce?
-
Ondřej CaletkaZlatý podporovatelTo je skvělý nápad! Jen by bylo asi dobré, kdyby takovou kontrolu dokázal udělat i přímo Cert Spotter.
-
Filip JirsákStříbrný podporovatelPřipadá mi zbytečné poskytovat tomu sledovacímu nástroji privátní klíče, nebo i jen řešit, zda je příslušný veřejný klíč párovým klíčem ke konkrétnímu privátnímu klíči. Když mám někde seznam správných privátních klíčů, mám u toho asi i seznam těch veřejných klíčů, a to k ověření úplně stačí.
-
Ondřej CaletkaZlatý podporovatel
Mám ještě lepší nápad. Cert Spotter by mohl kontrolovat, zda nově objevený certifikát má v sobě stejný veřejný klíč jako už některý z dříve objevených certifikátů. Tím pádem by nebylo potřeba nic konfigurovat a za předpokladu, že při obnově neměníme privátní klíč by takové obnovy neotravovaly.
-
Ondřej CaletkaZlatý podporovatel
ČLÁNKY DO MAILU