Non si fida di tutti i certificati intermedi

2

Ho un archivio di fiducia contenente la catena di certificati SSL fino al certificato della CA principale:

CA root - > CA intermedio - Certificato SSL

In base a ciò che ho visto come best practice, solo il certificato CA root deve essere aggiunto nell'archivio trust perché il server SSL deve inviare il certificato SSL insieme al suo certificato CA intermedio e pertanto è possibile verificare l'intera catena.

Ma per quanto riguarda la situazione in cui mi piacerebbe fidarmi solo di una particolare CA Intermedia che ha rilasciato il certificato SSL e non altro?

Il gestore della CA principale può emettere un altro CA2 intermedio che sarebbe poi considerato attendibile anche dalla mia applicazione. Come evitare tale situazione?

L'inclusione del certificato CA intermedio nell'archivio di fiducia non risolve il problema, poiché il certificato CA2 intermedio sarebbe ancora considerato attendibile.

    
posta user1563721 14.07.2016 - 20:46
fonte

1 risposta

6

Il tuo negozio di fiducia dovrebbe contenere i certificati di cui ti fidi. Se ti fidi solo di una singola CA intermedia, e non della sua radice, dovresti includere il certificato della CA intermedia e non quello della radice.

Una volta che una catena di trust può essere costruita su un certificato nel tuo trust store, non importa se quel certificato è stato emesso da un'altra CA o meno.

    
risposta data 14.07.2016 - 20:58
fonte

Leggi altre domande sui tag