Qual è lo scopo della spedizione di Firefox con certificati root scaduti?
I controllato e sono elencati due certificati scaduti. In effetti, il sito Web della società per il primo CERT scaduto (A-Trust) afferma che il nuovo deve essere importato manualmente. Perché non viene spedito immediatamente con Firefox? Perché i certificati scaduti sono ancora inclusi in Firefox?
Le ancore affidabili come i certificati di root sono affidabili solo perché sono incluse come attendibili dal sistema o dal browser. Non ci sono ulteriori validazioni come il controllo della revoca o della scadenza. Quindi non importa molto se il certificato di root è scaduto, ma solo le date di scadenza dei certificati firmati direttamente o indirettamente da questa radice sono rilevanti.
Per la convalida della catena di fiducia, la chiave pubblica all'interno del certificato radice è la parte più importante, poiché è necessaria per convalidare la firma del certificato emesso. Spesso si trovano più versioni dello stesso certificato CA che condividono tutte la stessa chiave pubblica e l'oggetto ma che hanno date di scadenza, algoritmi di firma o emittenti diversi (ad esempio alcuni sono autofirmati, alcuni sono firmati da un'altra CA). Tutti questi possono essere usati allo stesso modo come ancoraggio di fiducia perché condividono la chiave e l'argomento, quindi non importa che uno abbia la versione più recente nel trust store.
Penso che ci sia probabilmente meno di una risposta tecnica a questo. E ancora una risposta alla politica di Mozilla.
I negozi attendibili hanno determinate regole su come puoi ottenere le CA radice dentro e fuori da esso.
Mozilla ha anche tali regole . Non li capisco completamente.
Ma l'idea generale è che una volta che la tua root è all'interno del negozio di fiducia di Mozilla, il modo normale di espellerlo è attraverso un processo in due fasi: prima la tua radice viene lasciata nel trust store, ma posta nello stato "deprecato" . E dopo che la tua root è stata dichiarata deprecata, potresti essere espulsa completamente.
Se d'altra parte hai già una CA radice nel fiduciario di Mozilla e vuoi solo rinnovarla, allora le regole sono leggermente diverse rispetto a quelle in cui non ci fossero CA radice. (Non sono sicuro di quella parte.) Hanno una sezione speciale sul wiki chiamata Richieste di CA già incluse che sono in o Pronto per la discussione - e A-Trust è elencato lì.
E quello che penso è che il caso qui è che "A-Trust" ha una radice nello store da prima, ma i loro sforzi di rinnovamento non hanno ancora funzionato. Sono ancora bloccati in tale processo .
Inoltre: mentre le date di scadenza potrebbero non essere un motivo tecnico per l'esclusione da un negozio fidato, la scadenza è certamente un motivo secondo Politica di Mozilla .
Un altro motivo: le app di Mozilla utilizzano i certificati per verificare le firme digitali delle estensioni (o altre cose che si gettano su NSSAPI). Le firme dovrebbero continuare ad essere verificabili per molto tempo dopo la scadenza del certificato di firma (e del certificato di origine). La radice deve essere conservata per consentire l'accesso a CRL / OCSP.
Leggi altre domande sui tag certificates certificate-authority