Ricevo informazioni contrastanti e sembra che le persone utilizzino i certificati in modo un po 'diverso a seconda di quanto impegno si vuole dedicare alla loro gestione e magari dell'applicazione utilizzata.
A parte il cliente, questa è la mia comprensione: Un server ha un certificato firmato da una CA. Un client deve includere solo i certificati intermedi e / o root della CA nella sua Autorità attendibile (l'archivio dipende dall'applicazione, ovviamente). Finché un certificato host nuovo o rinnovato utilizza ancora le stesse radici, il client non deve preoccuparsi delle modifiche al certificato del server.
I partner FTP con cui ho a che fare stanno aggiornando o modificando i loro certificati server e inviandoli a me. Vedo molte implementazioni di client solo aggiungendo i certificati del server all'autorità fidata. Da quello che so (penso di), questo non solo mi dà più da gestire quando questi certificati scadono (annualmente), ma perdo il beneficio dei CRL (o i CRL funzionano solo per sistemi operativi e browser?) Ho pensato che aggiungessi solo te stesso certificati con firma per gli archivi Autorità attendibili.
Quindi, ho ragione di voler aggiungere solo root e prodotti intermedi agli archivi di Autorità attendibili o ottengo qualche beneficio dall'aggiunta di ogni certificato del server? Questo è davvero importante ed è solo una preferenza?