Perché Windows ha un posto dove memorizzare certificati SSL intermedi?

4

Come comprendo il processo di verifica del certificato SSL di un computer remoto, il sistema remoto invia il suo certificato 'leaf' e qualsiasi certificato intermedio, ma non il certificato di root. L'esecuzione di questo comando openssl mostra che il certificato di root non viene inviato dal server remoto:

openssl s_client -showcerts -connect www.stackoverflow.com:443

È quindi responsabilità del cliente verificare che il certificato foglia sia stato effettivamente firmato dal primo certificato intermedio, che il primo intermedio sia stato firmato dal secondo e così via. In definitiva, la firma sull'ultimo certificato fornito dal sistema remoto viene verificata per verificare che sia stata firmata da un certificato di origine che era già considerato affidabile, ovvero già nel 'trust store'.

Quindi ecco la domanda: perché vorresti, come cliente, voler mai conservare un certificato intermedio? L'archivio dei certificati di Windows ha un'area designata per la memorizzazione delle "Autorità di certificazione intermedie". Cosa serve? C'è mai un caso in cui è necessario memorizzare certificati intermedi?

    
posta Dave Mulligan 22.05.2015 - 18:25
fonte

3 risposte

1

Credo che la tua comprensione sia corretta. Penso che Windows memorizzi i prodotti intermedi perché:

1) Avere copie locali di certificati intermedi consente di "far fronte" a scenari di connessione in cui il server remoto non è incatenato correttamente. Ho visto scenari in cui un server web non è configurato correttamente, ma IE non si lamenta.

2) I certificati vengono utilizzati per altri strumenti basati su Windows. Ad esempio, quando si analizza un certificato con il programma Crypto Shell Extensions , esiste una scheda "Percorso di certificazione" che tenta di mostrare l'intera catena (non IMHO SEMPRE accurato).

3) Consente alla workstation di eseguire i ruoli SSL basati sul server, se necessario (ad esempio se si installasse un software locale con un'interfaccia Web).

4) Permette potenzialmente a Windows, IE o qualsiasi altra cosa sfruttando l'archivio CERT di avere un punto di riferimento attendibile per cert pinning . Non sono sicuro di quanto Windows lo faccia effettivamente.

    
risposta data 22.05.2015 - 19:46
fonte
1

Posso solo immaginare che sia possibile abilitare la memorizzazione nella cache dei certificati utilizzati di frequente, in modo che l'AIA non venga interrogato e scaricato per i certificati di End Entity

    
risposta data 22.05.2015 - 18:50
fonte
1

Un computer offline che vuole ancora verificare le firme del codice, forse.

    
risposta data 22.05.2015 - 20:51
fonte

Leggi altre domande sui tag