Devo criptografar uma solicitação de certificado SSL antes de enviá-la por e-mail?

Question

Devo criptografar uma solicitação de certificado SSL antes de enviá-la por e-mail?

#1 resposta do (6 votos)

3

Eu preciso enviar a um cliente uma solicitação de certificado SSL (do IIS 6.0)

Eles solicitaram que SOMENTE sejam enviados criptografados usando um aplicativo como o Winzip.

Minha pergunta é. Isso é realmente um problema?

Meu entendimento básico de certificados é que a solicitação não contém nenhuma informação que possa ajudar um hacker a obter o certificado final.

Estou completamente errado?

security ssl encryption ssl-certificate

por Robin Day 10.11.2010 / 13:25

1 resposta

Tags security ssl encryption ssl-certificate

O log de consultas lentas do Mysql está ativado, mas não está registrando nada Entradas de dados de arquivo e diretório do Splunk

score 6 · Accepted Answer

O CSR contém apenas as chaves públicas, além de algumas informações extras sobre o certificado. Não há nada de secreto lá realmente.

O problema é, em vez disso, a proteção da integridade: como eles podem ter certeza de que estão assinando o CSR correto e que ele não foi adulterado no transporte. Não é muito difícil para um homem no meio pegar seu CSR e substituí-lo por outro em que o MITM tenha controle sobre as chaves.

Portanto, o transporte do CSR tem que ser protegido de integridade de alguma forma. Os formatos de contêiner criptografados são uma maneira de fornecer proteção de integridade, juntamente com funções hash (criptográficas) ou assinaturas digitais.