Per avere fiducia nel certificato digitale, anche il certificato CA immediato deve essere nel trust store o il certificato CA root è sufficiente?
Devi solo fidarti della CA radice, i certificati intermedi (e altri) verranno controllati se sono firmati da una CA radice affidabile o da un intermediario considerato attendibile da una CA radice. Se tale CA radice è considerata affidabile, tutti i certificati firmati saranno considerati affidabili.
For example, when you have a chain [user] → [intermed-1] → [intermed-2] → [root], the verification is like this:
Does [user] have [intermed-1] as its "Issuer"?
Does [user] have a valid signature by [intermed-1]'s key?
Does [intermed-1] have [intermed-2] as its "Issuer"?
Does [intermed-1] have a valid signature by [intermed-2]'s key?
Does [intermed-2] have [root] as its "Issuer"?
Does [intermed-2] have a valid signature by [root]'s key
Since [root] is at the bottom of the chain and has itself as "Issuer", is it marked as trusted?
(tagliare da questa risposta)
Il certificato di root dovrebbe essere sufficiente . È responsabilità del server fornire tutti i certificati intermedi necessari. Per citare RFC 5246 :
This is a sequence (chain) of certificates. The sender's certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.
Il certificato di root è l'unico elemento facoltativo ("MAGGIO" invece di "DEVE") parte della catena.
Detto questo , nell'uso del mondo reale entrambe le estremità sfociano leggermente i bordi. Alcuni server non forniscono l'intermediario, di solito per mancanza di conoscenza unita alla capacità di farla franca. E se la cavano perché alcuni famosi certifici intermedi vengono pre-popolati in negozi fiduciari (la mia installazione su Win7 ne ha circa 15, per emittenti come DigiCert, Entrust, GeoTrust, Go Daddy, Microsoft, RapidSSL, Thawte e Verisign).
Quindi, puoi inserire certs intermedi nel tuo trust store se vuoi compensare alcuni server che non lo fanno correttamente. Ma hai pienamente ragione se invece vuoi segnalare al sito che il loro server non è configurato correttamente e chiedi loro di correggerlo.
I post di gowernfawr e BadSkillz risolvono completamente la domanda.
Basta inserire un suggerimento utile per assicurarti che il certificato sia configurato correttamente:
Puoi usare www.SSLLabs.com per testare la tua configurazione. Nella sezione "Percorsi di certificazione" il certificato Leaf (certificato server) e intermedio deve essere "Inviato da server" e il root deve essere "In archivio attendibile".
Se il Root visualizza anche "Inviato dal server" in arancione, dovresti rimuoverlo dal tuo server poiché gonfia inutilmente l'handshake SSL.
Leggi altre domande sui tag certificates certificate-authority