是否有证书颁发机构需要遵循的标准验证流程？

Question

因此，问题的前提是量化通配卡证书相对于普通证书的风险。从我的研究来看，外卡证书最大的根本危险是有可能破坏一个薄弱的系统，获取私钥，然后你就可以伪装成任何系统。为此，您必须危害系统并危及公共DNS服务器(假设这是基于Internet的攻击)，并在证书被撤销之前这样做。

我突然意识到，如果认证机构对验证公司有效性的要求发生了变化，其中一些更容易为社会工程师服务，而另一些则更容易，那么它可能会降低持有“外卡”证书的风险。也就是说，对于一个社会工程师来说，CA可能更容易进入一个系统并窃取私钥。此外，命名的Certs可能会产生一种虚假的安全感，因为它们可能被另一个受信任的权威所模仿。这也造成了另一个问题，即证书吊销不在公司的控制范围内，而通配符可以利用它。

我无法找到的是根权限在验证客户端域时必须遵循的标准。他们必须遵守什么标准吗？如果没有，是否有人知道每个CA的不同验证要求的列表或站点？

谢谢

Answer 1

本文件可以为您提供一个历史性的概述，了解CA的标准化是如何演变的。

编辑：

文档的一个片段，提供了一个很好的概述：

第一项专门针对CA作为一个组的要求是在2000年，当时浏览器和具有可信根存储的其他人要求根据WebTrust对CA标准进行年度安全审计。请参阅在WebTrust上可用的原始http://www.webtrust.org/homepage-documents/item27839.aspx审计标准。这些标准不时更新，因此当前的WebTrust审计标准反映在同一链接中详细的v.2.0要求中。即使在2000年第一次WebTrust用于CA标准之前，大多数CA还根据SAS 70标准(后来被SSAE 16 / SOC 2/ SOC 3取代)进行了年度绩效审计--除了WebTrust之外，许多还在进行。北美几乎所有的CA都遵循WebTrust标准，但世界其他地区的CA可能会被审计到相当于欧洲电信标准协会( ETSI )的审计标准--参见www.etsi.org。政府核证机关也必须定期提交同等的政府业绩审计报告。

Answer 2

我要说，通配符证书不会比普通的单域证书带来更大的危险，前提是CA确实验证所讨论的主体确实拥有整个SLD，如果主题不能降低整个二级域(SLD)的所有权，则绝不会为任何三级域颁发证书。

例如，如果CA确实在customer123.freewebhost.com验证一个客户，然后为*.freewebhost.com颁发通配符证书，则通配符证书可能会带来安全风险，因为该客户随后将能够在同一个web主机上模拟其他客户，并有可能将他们伪装成MITM。

由于获得证书的先决条件实际上是您必须拥有SLD，除了某些像.co.uk这样的第三方域，这些域的处理方式类似TLD，即".co.uk"，因此通配符证书并不比普通证书具有更大的安全风险。一些只允许自动域的CA甚至完全禁止.co.uk等，因为它们的自动化过程无法区分向something.tld声称拥有权的人或向co.uk声称拥有权的人。

安全风险在于CA发出中间CA证书，而不进行适当的验证。由于中间CA证书可用于模拟任何站点，因此必须只在严格的“需要”先决条件下颁发中间CA证书(如不需要向客户转售证书的任何人永远不要颁发中间CA证书)。