在处理CSR时,CA面临哪些威胁和缓解?
在处理CSR时,CA面临哪些威胁和缓解?
提问于 2017-02-09 15:46:18
问题
我应该在证书请求(CSR)中查找什么样的技术恶意/攻击?
假设是ASN1 1解析器在CA上是安全的。我严格地关注验证CSR数据的过程。
更多信息
假设CA接收到以下CSR
-----BEGIN CERTIFICATE REQUEST-----
MIIByjCCATMCAQAwgYkxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlh
MRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRMwEQYDVQQKEwpHb29nbGUgSW5jMR8w
HQYDVQQLExZJbmZvcm1hdGlvbiBUZWNobm9sb2d5MRcwFQYDVQQDEw53d3cuZ29v
Z2xlLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEApZtYJCHJ4VpVXHfV
IlstQTlO4qC03hjX+ZkPyvdYd1Q4+qbAeTwXmCUKYHThVRd5aXSqlPzyIBwieMZr
WFlRQddZ1IzXAlVRDWwAo60KecqeAXnnUK+5fXoTI/UgWshre8tJ+x/TMHaQKR/J
cIWPhqaQhsJuzZbvAdGA80BLxdMCAwEAAaAAMA0GCSqGSIb3DQEBBQUAA4GBAIhl
4PvFq+e7ipARgI5ZM+GZx6mpCz44DTo0JkwfRDf+BtrsaC0q68eTf2XhYOsq4fkH
Q0uA0aVog3f5iJxCa3Hp5gxbJQ6zV6kJ0TEsuaaOhEko9sdpCoPOnRBm2i/XRD2D
6iNh8f8z0ShGsFqjDgFHyF3o+lUyj+UC6H1QW7bn
-----END CERTIFICATE REQUEST-----CA将删除“开始/结束”头和页脚,并解析数据。人类可以在这里达到类似的效果。
如您所见,有一组OID具有相应的printable string值。
我的目标是防止权限升级,或模拟攻击,可能会出现一个错误的CSR。
回答 1
Security用户
回答已采纳
发布于 2017-02-09 16:54:28
CA通常不使用最初提供的CSR,只需签名即可。相反,他们只从CSR (即公钥、subject.)中提取和验证他们想要包含在证书中的信息,添加一些附加信息,如过期、CRL分发点、OCSP URL等,然后对这个新创建的CSR进行签名。这样,CA就不需要处理OID或类似的内容,因为这些信息无论如何都不包含在生成的证书中。它只需要理解和验证它将包括从原始的企业社会责任,即只有少数部分。这些部分通常都有一个众所周知的语法,可以强制执行,例如域名。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/150852
复制相关文章
相似问题
腾讯云开发者
