Sto lavorando con un cliente che sta importando manualmente il nostro certificato SSL (firmato pubblicamente e rilasciato da una ben nota CA intermedia) sui loro sistemi client. Credo che lo stiano facendo perché non aggiornano l'elenco dei certificati di CA radice affidabili su sistemi Microsoft Windows 7 precedenti.
Ciò causa inevitabilmente dei problemi ogni volta che il certificato SSL viene rinnovato o cambia per qualsiasi motivo. Mi piacerebbe capire alcuni motivi (vantaggi) che potrebbero motivare un'organizzazione a gestire i propri sistemi in questo modo.
In particolare:
-
Quali sono i rischi di non fare affidamento sulla catena di certificati per la convalida dei certificati SSL e invece di importare manualmente il certificato come affidabile?
-
Quali ulteriori rischi, se ce ne sono, ci sono per non mantenere aggiornato l'elenco delle CA radice affidabili?