Se l'Autorità attendibile SSL del client contiene solo certificati root e intermedi?

5

Ricevo informazioni contrastanti e sembra che le persone utilizzino i certificati in modo un po 'diverso a seconda di quanto impegno si vuole dedicare alla loro gestione e magari dell'applicazione utilizzata.

A parte il cliente, questa è la mia comprensione: Un server ha un certificato firmato da una CA. Un client deve includere solo i certificati intermedi e / o root della CA nella sua Autorità attendibile (l'archivio dipende dall'applicazione, ovviamente). Finché un certificato host nuovo o rinnovato utilizza ancora le stesse radici, il client non deve preoccuparsi delle modifiche al certificato del server.

I partner FTP con cui ho a che fare stanno aggiornando o modificando i loro certificati server e inviandoli a me. Vedo molte implementazioni di client solo aggiungendo i certificati del server all'autorità fidata. Da quello che so (penso di), questo non solo mi dà più da gestire quando questi certificati scadono (annualmente), ma perdo il beneficio dei CRL (o i CRL funzionano solo per sistemi operativi e browser?) Ho pensato che aggiungessi solo te stesso certificati con firma per gli archivi Autorità attendibili.

Quindi, ho ragione di voler aggiungere solo root e prodotti intermedi agli archivi di Autorità attendibili o ottengo qualche beneficio dall'aggiunta di ogni certificato del server? Questo è davvero importante ed è solo una preferenza?

    
posta Mike 09.09.2012 - 04:45
fonte

2 risposte

3

La tua catena di fiducia deve essere ancorata in un certificato attendibile da qualche parte. Aggiungere il certificato "root" (quale che sia) è sufficiente per stabilire tale fiducia. Tuttavia, se un certificato di concatenamento che collega il certificato del server a quello attendibile non viene inviato dal server durante la connessione e il client non dispone di una copia del certificato di concatenazione, non è possibile stabilire l'intera catena di trust.

Quindi in tal caso, sarebbe utile aggiungere il certificato intermedio. Il certificato del server viene sempre inviato durante le negoziazioni SSL, quindi fidarsi di quel certificato semplicemente limita la fiducia proprio lì, evitando la necessità di convalidare in qualche altra autorità attendibile e potenzialmente di evitare eventuali componenti mancanti lungo il percorso.

Per quanto riguarda i CRL, se ci si fida direttamente del certificato del server, non verrà consultato alcun CRL. Il controllo del CRL dipende dall'implementazione del software client e potrebbe essere o meno una funzione supportata.

    
risposta data 09.09.2012 - 04:59
fonte
2

Per rispondere alla tua domanda, è OK (dal punto di vista della sicurezza) aggiungere il certificato del server al tuo negozio di fiducia. È possibile aggiungere il certificato CA o il certificato del server stesso.

Il compromesso principale ha a che fare con la gestibilità, non con la sicurezza. Hai spiegato bene alcuni problemi di gestibilità.

Se il certificato del server è firmato da una CA ben nota, la cosa normale da fare sarebbe aggiungere il certificato CA al proprio negozio di fiducia. Tuttavia, è possibile che i tuoi corrispondenti stiano utilizzando certificati autofirmati che non sono certificati da alcuna CA. In tal caso, aggiungere la CA al tuo negozio di fiducia non è un'opzione e potresti dover aggiungere il certificato del server al tuo negozio di fiducia.

    
risposta data 09.09.2012 - 07:13
fonte

Leggi altre domande sui tag