Inserisco il mio certificato CA subordinato (intermedio) o radice nel mio truststore?

6

Ho un server che utilizza un certificato firmato dalla mia CA subordinata (intermedia).

Il mio client basato su java deve inserire il certificato CA intermedio o root nel suo truststore in modo che quando comunica con il server sappia che può fidarsi del certificato del server.

Dovrei inserire il certificato intermedio o root ca nel truststore?

So che le CA intermedie sono utilizzate per migliorare la sicurezza proteggendo la radice, quindi la mia inclinazione è quella di non includere mai la radice in nulla. Ma, sto lottando per capire esattamente come funziona tutto questo.

Illuminami:)

    
posta Sean Bollin 04.04.2016 - 21:12
fonte

1 risposta

4

In generale, dovresti inserire il cert root in altre cose. Il modello generalmente funziona in questo modo:

Clienti

Avere il certificato di root "bloccato" (cioè incorporato nell'archivio di fiducia).

Quando convalidano un certificato, è necessario risalire a un certo cert nel loro trust store, il numero di certificati intermedi tra il certificato di fine e il certificato aggiunto dovrebbe essere irrilevante, quindi non c'è motivo per non aggiungere un certificato di root - almeno dal punto di vista del cliente.

Autorità di certificazione

Cosa fare nel caso in cui la chiave CA venga compromessa è una grande preoccupazione per le persone che eseguono le CA. Per rendere più facile la pulizia in caso di qualcosa di brutto, le persone solitamente usano una "root offline":

  1. Chiedere alla CA principale di firmare CA subordinate, quindi scollegare la CA di origine (se la CA è un server fisico dedicato) oppure nascondere la chiave privata di root su un disco di backup ben protetto e assicurarsi che non ci siano copie galleggianti intorno. Ciò rende molto difficile per gli hacker rubare la chiave privata.

  2. Effettua l'emissione giornaliera di certificati, la pubblicazione CRL / OCSP, ecc. al di fuori dei prodotti intermedi. Sono connessi a Internet e quindi a più alto rischio di compromissione.

  3. In caso di compromissione di una CA intermedia, è possibile attivare la CA principale, revocare quella intermedia, creare un intermediario nuovo di zecca e riemettere tutti i certificati legittimi che sono stati revocati per errore.

  4. I server che utilizzavano certificati firmati da quell'intermedio dovranno installare il cert appena rilasciato poiché i loro vecchi sono ora revocati.

  5. I client saranno completamente inalterati dal momento che hanno bloccato il certificato di root, quindi scambiare gli intermediari non ha assolutamente alcun effetto.

Come esperimento di pensiero, confronta il precedente con ciò che dovresti fare se la tua chiave CA radice viene compromessa. Dal momento che possono essere necessari mesi o anni affinché una radice venga incorporata nei browser pubblici, nei client VPN, in altri server, ecc., Probabilmente la CA fallirà.

Vantaggi del pinning di una radice, vs pinning di un intermedio:

  • L'esempio sopra mostra che bloccare la radice rende MOLTO più facile da ripulire da un compromesso perché puoi semplicemente revocare l'intermedio compromesso, emettere nuovamente dei certificati e andare avanti con la tua vita.
  • Ci sono meno certs nel tuo trust store. Se tutti dovessero appuntare tutti gli intermediari, i negozi fiduciari di tutti sarebbero molto più grandi al punto in cui potrebbero avere un impatto sulle prestazioni della convalida del certificato, poiché la ricerca nell'archivio fiduciario richiederebbe più tempo.
  • Bilanciamento del carico: bloccando la radice, sei libero di riordinare la topologia dei tuoi intermediari, o persino metterli dietro un bilanciatore del carico per la gestione delle richieste di certificazione e ai clienti non interessa.
risposta data 04.04.2016 - 21:37
fonte

Leggi altre domande sui tag