Le due CA intermedie firmate dalla stessa CA radice si fidano dei rispettivi certificati client firmati?

Question

Le due CA intermedie firmate dalla stessa CA radice si fidano dei rispettivi certificati client firmati?

#1 da (2 voti)

3

Ho due CA intermedie che firmano ogni certificato per i loro utenti client, come questo:

             ROOT CA
             /      \
            /         \
           /           \
   Intermediate A    Intermediate B
     /                  \
  Client A               Client B

Eseguo un servizio, Servizio A, che convalida i client utilizzando la catena di certificati dell'intermediario A. Quindi, il client A si connette al servizio A e viene autenticato. Voglio impostare un servizio B che utilizzi la catena intermedia di B in modo che non si fidi dei clienti che presentano certificati firmati dall'intermediario A.

Se il cliente B ha un certificato firmato dall'intermedio B e questa persona tenta di connettersi al servizio A (che utilizza la catena intermedia di A), verrà autenticato?

trust public-key-infrastructure tls certificates certificate-authority

posta Chris Snell 08.10.2016 - 05:57

fonte

1 risposta

Leggi altre domande sui tag trust public-key-infrastructure tls certificates certificate-authority

WPA2-EAP e Captive Portal Archiviazione di NetworkCredential nel database SQL

score 2 · Answer 1

TL; TR: dipende dalla configurazione esatta di cui sono attendibili le CA in ciascun servizio.

Autenticazione significa che può essere costruita una catena di fiducia per una CA accreditata localmente. Questo significa:

Se il servizio A si affida solo al livello intermedio A ma non alla CA radice, si fiderà di tutti i certificati firmati con intermedio A ma non dei certificati firmati con intermedio B perché non può essere creata alcuna catena di fiducia dall'intermedio A ai certificati firmati dall'intermedio B. è il comportamento del servizio B.
Se il servizio A invece o si fida ulteriormente dell'autorità di certificazione radice, si fiderà di tutti i certificati firmati direttamente o indirettamente da CA radice purché disponga della conoscenza dei certificati intermedi necessari. Pertanto, se il client B invia il suo certificato client e anche il certificato emittente (cioè B intermedio), il servizio A si fiderà perché può costruire la catena di fiducia.

Si noti che l'ultima istruzione è vera solo se il servizio A non applica ulteriori restrizioni. Queste restrizioni potrebbero includere un limite per la lunghezza della catena di fiducia: se il servizio A accetta solo certificati emessi direttamente dalla sua CA attendibile, l'invio del certificato e dell'intermedio per B non lo farà affidare al cliente B. La restrizione potrebbe anche includere una sfiducia esplicita di intermedio B nel qual caso non accetterà anche il certificato dal cliente B.