Ho avuto SSL / TLS in esecuzione sul mio sito ora per un po '. Per saperne un po 'di più sulla PKI generale, ho studiato il test SSL di Qualys e ho ottimizzato la mia configurazione (inclusa l'adozione della pinzatura OCSP).
Il mio server web specifico di scelta è Nginx - e c'è l'opzione ssl_trusted_certificate, che, se non sbaglio, consente di convalidare la firma di una risposta di OCSP. Per quanto ne so, questa è una catena che va dal certificato radice della CA, fino al certificato intermedio finale prima del certificato "recitazione" del server (ho dimenticato il nome corretto per questi!).
Nella mia situazione specifica, sto usando Gandi come fornitore di certificati. Ho ottenuto due diversi percorsi di certificazione in base al test. La radice USERTRUST (che ha emesso il certificato intermedio Gandi), non sembra funzionare su alcuni dispositivi (telefoni recenti, ho trovato un'istanza di Android 4.4.4 non aveva il certificato installato), quindi ho optato per la catena più lunga , con AddTrust nella radice (che ha emesso un certificato USERTRUST, che a sua volta ha emesso il certificato Gandi, e infine il mio server).
Questo risolve il problema. Tuttavia, mi chiedo se si consiglia o meno di deviare dal bundle fornito da Gandi? Inoltre, tornando a OCSP, il mio URI OCSP risulta essere link .
Se stavo cambiando ciecamente ssl_trusted_certificate, avrei inserito la radice AddTrust, l'intermedio USERTRUST e infine i certificati intermedi Gandi in questo ordine (non riesco a trovare alcuna documentazione in merito all'ordine in cui ne ho specificamente bisogno e quali certificati devo effettivamente includere).
Se le mie risposte OCSP provengono da USERTRUST, ho solo bisogno della radice USERTRUST e dell'intermedio Gandi?
Grazie per aver dedicato del tempo a leggere. :)