CA는 엔티티가 신뢰할 수 있는지 여부를 어떻게 결정합니까?

Question

저는 현재 UNI 클래스의 인증 기관을 프로그래밍하고 있으며 현재 인증서 작성 개념으로 어려움을 겪고 있습니다.

CA는 일반적으로 엔티티에 인증서를 제공 해야하는지 여부를 어떻게 결정합니까? 개인 키와 인증서 수감에 서명함으로써 엔티티가 공개 키의 소유자임을 증명하기에 충분합니까?

CA가 일반적으로 실체가 신뢰할 수 있는지 어떻게 결정합니까?

감사해요,

Answer 1

다른 유형의 인증서와 관련된 다양한 수준의 신뢰가 있습니다.

기본 SSL 인증서 :

예를 들어, 웹 사이트의 기본 SSL 인증서는 종종 자동화 된 프로세스입니다. 고유 한 시간 동안 URL (또는 온라인 양식으로 입력 해야하는 코드)을 보내는 도메인과 관련된 도메인과 관련된 이메일 주소를 보내면 유효합니다.

확장 유효성 검사 :

최신 브라우저에 녹색 주소 표시 줄이있는 SSL '확장 유효성 검증'의 경우와 같은 강력한 검증의 경우, 요청과 같은 여러 정보 소스를 상관시켜 소유자의 정당성을 설정하는 것이 일반적입니다. 유틸리티 청구서/인증서/등록 법인 세부 정보 (예 : Dun 및 Bradstreet/Companies House Registration (UK) 또는 이와 동등한 정보) 및 동일한 주소 및 회사 이름과 정확히 일치하는 정보를 제공합니다.

개인에 대한 인증서의 경우 사진이나 여권이있는 운전 면허증의 사본이 종종 필요합니다.

주문이 합법적인지 확인하기 위해 식별 된 전화를 통해 다시 전화하는 것이 일반적입니다. 전화 번호의 정당성은 일반적으로 WHOIS 정보 또는 유틸리티 회사가 제공 한 전화 청구서에 나열된 번호를 기반으로합니다.

확장 유효성 검사 인증서 프로세스는 일반적으로 코드 서명 인증서 프로세스와 동일하지 않은 경우 일반적으로 매우 유사합니다 (레코드의 이메일 연락처로 사용 된 도메인은 종종 WHOIS 정보를 제어 해야하는 도메인으로 간주됩니다).

레지스트라마다 약간 다양하며 때로는 비공식적이고 임시가 될 수 있습니다 (소규모 회사가 제공하기 쉬운 일부는 대기업에서는 보유하기가 어렵 기 때문에 그 반대도 마찬가지입니다. 여러 대체 방법이 받아 들여지는 것).

Answer 2

CA는 사업입니다. 인증을 판매하여 돈을 벌고 있습니다. 더 많은 양을 팔수록 더 많은 돈을 벌게됩니다. CA가 법인을 신중하게 검증하지 않으면 평판이 느슨해지며 아무도 인증을 받기 위해 기꺼이 지불하지 않을 것입니다.

일반적으로 CAS는이 두 반대 세력의 긴장 안에서 작동하고 있습니다.

Answer 3

귀하의 질문이 심각한 오해를 암시 할까 걱정됩니다.

개인 키로 인증서 수감에 서명함으로써 엔티티가 공개 키의 소유자임을 증명하는 것으로 충분합니까?

그것은이다 확실히 엔티티가 개인 키로 무언가를 서명하도록하기에 충분합니다. CA는 서명을 확인하기 위해 어떤 공개 키를 사용할 것인지 어떻게 알 수 있습니까? 그것을 제공하려면 엔티티를 신뢰해야합니다. 따라서 누구나 CA에 연락하여 다음과 같이 말할 수 있습니다.

"저는 Microsoft.com입니다. 여기에서 개인 키와 함께 서명했습니다. 공개 키로 확인할 수도 있습니다. 이제이 공개 키가 Microsoft.com에 속한다는 것을 증명할 수 있습니까? 당신에게 $ 1000를 지불합니다! "

(실제로이 단계는입니다 필요한, 충분하지 않습니다. 개인 키로 무언가에 서명하지 않았다면 공개 키, 심지어 Microsoft 's를 CA에 보내어 내 것으로 인증하도록 요청할 수 있습니다. 그런 다음 Microsoft (아마도 특허 출원)가 서명 한 무언가가 실제로 서명되었다고 주장 할 수 있습니다! 따라서 CA는 인증서의 공개 키를 인증하기 전에 해당 개인 키가 있는지 확인합니다.)

따라서 문제는 CA가 인증서를 요청하는 사람의 신원을 확인하기 위해 무엇을 할 수 있습니까? CA의 어느 누구도 전에이 실체에 대해 들어 본 적이 없습니다!

CA 끝에서 완전히 자동화 할 수있는 간단한 옵션은 엔티티가 이메일 주소를 제공하는 것입니다. CA는 해당 이메일 주소로 도전 (CA 웹 사이트의 특별 URL과 같은)을 보냅니다. 누군가가 해당 URL로 서버에 요청하는 경우, 아마도 해당 이메일 주소를 소유하거나 액세스 할 수있는 사람 일 것입니다.

Verisign에 가서 무료 평가판 SSL 인증서를 요청하면 직접 시도해 볼 수 있습니다.

한계는 뿐 이 인증서가 증명할 수있는 관계는 공개 키와 이메일 주소 사이에 있습니다. 그것은 어떤 사람들에게는 충분할 수도 있지만, 모든 사람에게 충분하지는 않습니다.

특정 인증서 (또는 공개 키)가 Elbonia의 XYZ Inc에 속한다고 확신하고 싶다면 민감한 비즈니스 세부 정보를 보내려고하기 때문에 이메일 주소 이상을 원합니다. CA가 심각한 조사를 수행했는지 확인하고 싶습니다. CA는 레터 헤드에 요청을 받아야합니다. 전화 번호부에서 전화 번호를 사용하여 회사에 연락해야합니다. (사기꾼도 전화 인물도 속여야합니다.) CA는 XYZ Inc 가이 주소에 등록되어 있는지 확인하기 위해 비즈니스 이름 등록 사무소에 확인해야합니다. 문서를 등록 된 주소에 게시해야합니다. (이는 사기꾼이 메일을 가로 채어야한다는 것을 의미합니다.) CA는 요청이 이루어 졌는지 확인하기 위해 조직의 등록 된 사무실에 물리적으로 참석할 수 있습니다.

이러한 모든 신원 점검은 시간이 많이 걸리고 비싸다. CA는 그러한 서비스에 대해 법인에게 청구합니다. 그러나 단체가 고객 에게이 공개 키가 높은 수준의 신뢰를 제공하고자한다면 진짜 XYZ Inc에 속합니다. 그렇다면 그것이해야 할 일입니다.

Iain Collins가 제안한 것처럼 CAS는 적은 수준의 신원 확인이 필요한 사람들과 다른 사람들에게는 비싼 서비스를 제공 할 수있는 저렴한 서비스를 제공 할 수 있습니다. CA가 제공하는 인증서에는 발생한 신원 확인 수준을 표시 할 것입니다. 인증서를 사용하여 거래를 고려하는 사람은 CA의 인증 관행 진술서를 보고이 수준의 의미와 수행 된 신원 확인 유형을 이해할 수 있습니다.

마지막으로, CA는 기업에 대해 어떠한 주장도하지 않습니다. 신뢰성. 인증서는 공개 키와 신원 사이의 링크입니다. CA가 단순히 공개 키가 실제로 해당 엔티티를 가장하는 사람이 아니라 특정 실체와 관련이 있는지 확인합니다. 실체는 꽤 악할 수 있습니다!

요약하면, 공개 키 암호화를 사용하여 누군가의 정체성을 결정할 수 없습니다. ~ 후에 인증서가 발행되었습니다. 인증서는 CA가 일부를 사용했다고 말합니다 다른 신원 확인의 형태이며 다른 사람들이 그 수표에 의존 할 수 있습니다.

Answer 4

실체의 식별 결정은 인증을받는 실체 유형에 매우 주관적입니다. 내 경험상, 도메인 이름 (예 : www.stackoverflow.com)에 대한 인증서를 요청할 때 CA는 일반적으로 Whois에 언급 된 기술 연락처에 문의합니다.

또는 CA는 CSR에 제공 할 신뢰할 수있는 엔터티에 PKCS #9 암호를 제공 할 수 있습니다. 그런 다음 CA는 목록에 대한 암호를 검사하고 요청 된 엔티티가 해당 엔티티에 합법적인지 결정할 수 있습니다.

Answer 5

IMHO, 실제로 가장 중요한 것은 CA의 가입자 (즉, 인증서를 확인하는 가입자)가 CA가 수행하는 일을 이해하여 인증서에 적절한 신뢰를 부여 할 수 있으며 인증서는 동일한 신원을 다시 발행하지 않는다는 것입니다. 두 개의 다른 엔티티에.

인증서의 이름이 객관적이면 사용자의 신원을 심사하는 것이 중요합니다. 예를 들어, 특정 도메인/호스트 이름 (예 : www.example.com)을 포함 해야하는 웹 서버 인증서는 인증서의 소유자가 도메인 이름을 소유하고 있는지 확인해야합니다.