web-dev-qa-db-ja.com

Let's Encryptは米国を拠点としており、米国の法律が適用されます

Let's Encryptは米国を本拠地としており、国家安全保障レターを含む米国の法律が適用されます。 Let's Encryptを使用する外部サイトにはどのような影響がありますか?

これが私がこれまでに思いついたものです:

  1. Let's Encryptは証明書を取り消さざるを得ない場合があります
  2. Let's Encryptが偽造証明書の発行を強制される可能性がある
  3. Let's Encryptはアクティビティを秘密にしておく必要があるかもしれません

さらに、Let's Encryptは、米国のPRISMプログラム(Google、Facebookなど)の一部である企業のメンバーを含むInternet Security Research Groupによって管理されています。

tlscertificate-authoritygovernmentletsencrypt
14
RealDrGordonFreeman

すべて良い質問です。私は彼らが他のことに対してあまり話すことはできませんすることができましたが、ここにあなたが育てたものについてのいくつかのコメントがあります:

  1. はい、証明書を取り消すことができます。ただし、これによりユーザーの可用性の問題が発生する可能性がありますが、機密性や整合性が損なわれることはありません。
  2. 暗号化しましょうcould偽造証明書を発行しますが、それが証明書の透明性ログですべての証明書が報告される理由です。これが心配な場合は、サーバーで使用されたことのないドメイン名で発行された証明書を監視できます。
  3. 繰り返しますが、これは証明書の透明性の利点です。ユーザーはCTログと照合して、特定の証明書が有効であることを確認できます。これは、ドメインの証明書を監視するよりも少し効果が低くなりますが、理論的には、不正な証明書が特定される可能性があります。

機密性と整合性への影響に関しては、Let's Encrypt証明書の要求を使用するツールに対するサプライチェーン攻撃が最も心配です。デフォルトのツールであるcertbotは、さまざまなWebサーバーに証明書をインストールするように設計されているため、大量のアクセスを必要とします。設計者は、証明書を発行する場合は、とにかくrootになる必要があると感じました。幸いなことに、このツールは 0以上の直接の貢献者 を備えたオープンソースであるため、ツールに何かを入れることは、Webアプリケーションに使用するライブラリの1つに何かを入れることとは言えません。

12
nbering

そして

  • 新しい証明書の発行を拒否する可能性があります。
  • 彼らはあなたの個人データ(登録メール、あなたのACMEアカウントにリンクされたドメインのリスト、あなたのサーバーのIPなど)を米国当局に与えることを強いられるかもしれません。
  • (OCSPリクエストを使用して)Webサイトの訪問者の個人データ(IP、ユーザーエージェントなど)を米国に提供することを強制される可能性があります。当局。 (OCSPの定番はそれを防ぐことができます)
  • OCSPリクエストへの応答を拒否することで、訪問者の一部がWebサイトにアクセスできなくなる可能性があります(ブラウザーにOCSPのハードフェイルが設定されている場合。「取り消された」OCSP応答を送信するだけの可能性があります)。 OCSPの定番はそれも防ぐことができます

そして、彼らはこれらのリクエストについての(いくつかの)統計を投稿します: ISRG Legal Transparency Reports

https://community.letsencrypt.org の他の関連リンク:

6
Tom