Devo criptografar uma solicitação de certificado SSL antes de enviá-la por e-mail?

3

Eu preciso enviar a um cliente uma solicitação de certificado SSL (do IIS 6.0)

Eles solicitaram que SOMENTE sejam enviados criptografados usando um aplicativo como o Winzip.

Minha pergunta é. Isso é realmente um problema?

Meu entendimento básico de certificados é que a solicitação não contém nenhuma informação que possa ajudar um hacker a obter o certificado final.

Estou completamente errado?

    
por Robin Day 10.11.2010 / 13:25

1 resposta

6

O CSR contém apenas as chaves públicas, além de algumas informações extras sobre o certificado. Não há nada de secreto lá realmente.

O problema é, em vez disso, a proteção da integridade: como eles podem ter certeza de que estão assinando o CSR correto e que ele não foi adulterado no transporte. Não é muito difícil para um homem no meio pegar seu CSR e substituí-lo por outro em que o MITM tenha controle sobre as chaves.

Portanto, o transporte do CSR tem que ser protegido de integridade de alguma forma. Os formatos de contêiner criptografados são uma maneira de fornecer proteção de integridade, juntamente com funções hash (criptográficas) ou assinaturas digitais.

    
por 10.11.2010 / 13:41