Le due CA intermedie firmate dalla stessa CA radice si fidano dei rispettivi certificati client firmati?

3

Ho due CA intermedie che firmano ogni certificato per i loro utenti client, come questo:

             ROOT CA
             /      \
            /         \
           /           \
   Intermediate A    Intermediate B
     /                  \
  Client A               Client B

Eseguo un servizio, Servizio A, che convalida i client utilizzando la catena di certificati dell'intermediario A. Quindi, il client A si connette al servizio A e viene autenticato. Voglio impostare un servizio B che utilizzi la catena intermedia di B in modo che non si fidi dei clienti che presentano certificati firmati dall'intermediario A.

Se il cliente B ha un certificato firmato dall'intermedio B e questa persona tenta di connettersi al servizio A (che utilizza la catena intermedia di A), verrà autenticato?

    
posta Chris Snell 08.10.2016 - 05:57
fonte

1 risposta

2

TL; TR: dipende dalla configurazione esatta di cui sono attendibili le CA in ciascun servizio.

Autenticazione significa che può essere costruita una catena di fiducia per una CA accreditata localmente. Questo significa:

  • Se il servizio A si affida solo al livello intermedio A ma non alla CA radice, si fiderà di tutti i certificati firmati con intermedio A ma non dei certificati firmati con intermedio B perché non può essere creata alcuna catena di fiducia dall'intermedio A ai certificati firmati dall'intermedio B. è il comportamento del servizio B.
  • Se il servizio A invece o si fida ulteriormente dell'autorità di certificazione radice, si fiderà di tutti i certificati firmati direttamente o indirettamente da CA radice purché disponga della conoscenza dei certificati intermedi necessari. Pertanto, se il client B invia il suo certificato client e anche il certificato emittente (cioè B intermedio), il servizio A si fiderà perché può costruire la catena di fiducia.

Si noti che l'ultima istruzione è vera solo se il servizio A non applica ulteriori restrizioni. Queste restrizioni potrebbero includere un limite per la lunghezza della catena di fiducia: se il servizio A accetta solo certificati emessi direttamente dalla sua CA attendibile, l'invio del certificato e dell'intermedio per B non lo farà affidare al cliente B. La restrizione potrebbe anche includere una sfiducia esplicita di intermedio B nel qual caso non accetterà anche il certificato dal cliente B.

    
risposta data 08.10.2016 - 06:40
fonte