Ho problemi con l'utilizzo di Wget per scaricare un file su HTTPS da ftp.gnu.org
utilizzando la radice Let's Encrypt X3 . Il Let's Encrypt X3 è sottoposto a certificazione incrociata, il che significa che ha un emittente e non è autofirmato. Quando utilizzi Let's Encrypt X3 , Wget non riesce con l'errore non riesce a trovare il certificato emittente anche se sto cercando di radicare la fiducia nel certificato Let's Encrypt.
Ho visitato RFC 4158, infrastruttura a chiave pubblica Internet X.509: percorso del percorso di certificazione per vedere quale dovrebbe essere il comportamento . Il documento discute in dettaglio i percorsi di costruzione da certificati di entità finale o di sottoscrizione a root di root e ancore di fiducia. È quello che ci si aspetterebbe.
Tuttavia, Sezione 1.3 fornisce una terminologia e definisce i trust ancore:
-
Elenco di attendibilità : un elenco di trust ancore.
-
Trust anchor : la combinazione di una chiave pubblica attendibile e il nome dell'entità a cui appartiene la corrispondente chiave privata.
-
Certificato di ancoraggio attendibile : un certificato autofirmato per un'ancora di attendibilità utilizzata nell'elaborazione del percorso di certificazione.
-
"Certificato di ancoraggio attendibile" e la definizione che richiede "autofirmato" significa che non possiamo radicare la fiducia in un certificato subordinato, come Let's Encrypt X3 root che è stato sottoposto a certificazione incrociata.
La mia domanda è, perché l'RFC lo ha fatto? Perché siamo costretti a utilizzare un certificato autofirmato come ancoraggio e includere porzioni non necessarie della PKI che servono solo a complicare la creazione di percorsi e ad aumentare la superficie di attacco?