Perché COMODO ha 5 certificati radice su un nuovo portatile Apple?

4

Perché Apple include 5 certificati radice COMODO in OS X? C'è "AddTrust {Class 1, External, Public, Qualified} CA Root" e anche "COMODO Root Certificate".

Perché non è sufficiente, se è di proprietà di un'azienda?

    
posta Andrey Fedorov 21.07.2015 - 05:37
fonte

1 risposta

5

Nel mio browser (Chrome su Windows) ho certificati per entrambe le CA. Non sono completamente sicuro di quale sia la tua domanda (perché una CA avrebbe più di un certificato? Perché una CA emetterebbe un certificato non-root? Perché OS X non viene spedito con il certificato radice?). Se potessi aggiornare la tua domanda con maggiori dettagli, sarebbe grandioso, ma nel frattempo proverò a rispondere alla domanda più generica.

Perché una CA emetterebbe un certificato non root?

È molto comune per una CA pubblica utilizzare una CA non root per l'emissione di certificati cliente. Per quanto riguarda la fiducia, conta solo che i certificati cliente possano ricondurre alla radice presente nel browser, che la CA intermedia ha effettivamente emesso è per lo più irrilevante.

Ci sono diversi motivi per impostare una gerarchia di CA come questa, alcuni sono legati alla sicurezza, alcuni sono legati all'IT. Diamo un'occhiata a un esempio di installazione di CA (non l'immagine migliore, ma andiamo con esso):

Motivipercuipotrestideciderediconfigurarloinquestomodo:

IT/Administrative

UnaCApuòaverepiùdipartimentidimarketingcherilascianocertificatiSSL.Forsequestirepartisitrovanoindiversiluoghifisici,forsesonosoggettialeggidiverse,oforsesonosoloindiversirepartidell'azienda.Inentrambiicasi,probabilmentevorraichegliamministratoridiciascundipartimentononabbianoaccessoallaCAperglialtridipartimenti.

Sicurezza

CosasuccedeselaCAprincipalevienecompromessa?Cometiriprendidaquello?Nonlofai,latuaaziendafallisce, è successo prima .

Se invece è una CA intermedia che viene compromessa hai opzioni. Se ciascuna CA intermedia si trova su una rete diversa con amministratori diversi, allora la possibilità è buona che è possibile arrestarla senza compromettere altre CA. Devi stare attento con gli aspetti tecnici e PR, ma è possibile spostare i certificati cliente sulla CA compromessa su un'altra CA senza che le persone perdano la fiducia in te. Non è facile, ma hai opzioni.

CA root offline

Per questi motivi è comune che le CA commerciali abbiano la loro radice come una macchina che non è mai, in nessun punto, connessa a una rete. Il suo unico lavoro nella vita è quello di emettere certificati per le CA immediatamente sotto di esso, quindi lo si spegne e lo si mette in un caveau. Buona fortuna per hackerarlo.

La mia ipotesi di guardare quei due certificati che hai linkato è

C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root

è una root offline e

C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO Certification Authority

(che è subordinato al primo) è un CA dipartimentale regionale (sebbene il chiarimento della tua domanda possa essere di aiuto).

    
risposta data 21.07.2015 - 17:58
fonte

Leggi altre domande sui tag