Esiste un uso in un'estensione AIA in un certificato emesso direttamente da una CA radice?

1

Mentre la maggior parte della documentazione che ho letto afferma che non c'è alcun requisito per avere l'estensione AIA in un certificato Root autofirmato (abbastanza logico), non riesco a trovare nulla che mi dice di non farlo nei certificati emessi dalla radice. In effetti, la maggior parte degli esempi che ho trovato ha la CA radice che rilascia certificati con un'estensione AIA che punta alla CA principale.

RFC 5280 offre due possibili opzioni per AIA:

  • l'URL del certificato della CA emittente
  • l'URL del risponditore OCSP.

Per ora, sto ignorando OCSP e supponendo che abbiamo almeno una CA subordinata.

Quale sarebbe il punto di avere una voce id-ad-caIssuers nell'estensione AIA all'interno di un certificato emesso dalla CA principale? Se un subordinato ha bisogno di controllarlo per trovare il percorso della CA principale, allora implica che il subordinato non è a conoscenza del certificato della CA principale e quindi non lo ha nella propria collezione di Ancoraggi Trust. Un URL per la CA principale non cambierà le cose: non lo crederà ancora!

Ho corretto o ho perso qualche punto? In quest'ultimo caso, esiste una situazione in cui questa estensione AIA sarebbe necessaria in un certificato emesso dalla CA principale?

    
posta garethTheRed 26.04.2015 - 16:14
fonte

2 risposte

3

Beh, in teoria, non avresti mai avuto bisogno dell'AIA.

Mandati RFC 5280, che invii lungo ogni certificato necessario. E facoltativamente, puoi inviare anche il certificato CA radice.

E questo è l'unico certificato opzionale.

Ora non tutti configurano correttamente i loro server. Ed è qui che entra in gioco AIA.

Se viene inviato solo il certificato dell'entità finale, il software client avrà più lavoro da fare. E alcuni software client possono fare una cosa chiamata AIA chasing.

Guarderà all'interno dei certificati che ha e utilizzerà AIA per scaricare certificati aggiuntivi. E se questo non porta a un percorso utilizzabile entro 10 tentativi o qualcosa del genere, allora il path building fallisce.

E costruire un percorso significa: trovare i certificati che portano a una CA radice affidabile.

Se conduce a una CA radice non attendibile, allora non puoi fidarti del certificato foglia. Ad ogni modo, arriverete ad una decisione su quel certificato foglia. E questo è quello che vuoi.

Correlati: InfoSec-SE: Steps per scoprire se un certificato SSL è affidabile

Modifica 2015-04-28: AIA presenta una radice. Tu decidi sulla fiducia.
L'AIA che insegue può aiutarti a trovare una (o più) CA radice. Che cosa fa non fare è un aiuto per decidere se questa CA merita la tua fiducia.

Ma otterrà una CA radice.

E anche se ottieni una CA radice di cui non ti fidi, è comunque utile, perché allora conosci che la risposta è "Non mi fido di questo". E poi non devi continuare a cercare una risposta.

Ulteriori letture

risposta data 26.04.2015 - 19:26
fonte
2

Come fai notare, un AIA è utile per OCSP.

Per la convalida dei certificati grezzi , l'aggiunta di un URL che punta al certificato autofirmato di root è davvero inutile. Un certificato autofirmato di root è utilizzabile solo se già lo si possiede, poiché la sua integrità e autenticità non possono essere desunte dalla sua firma. Se hai già il certificato, non è necessario scaricarlo.

Tuttavia , ci sono alcuni casi in cui l'URL è utile, ad es. come documentazione In sostanza, se un utente di Windows fa doppio clic sul certificato dell'entità finale ma non installa la root autofirmata, Windows lo scaricherà automaticamente e lo visualizzerà con una "X" rossa, che mostra almeno il problema esatto. Se non vi è alcun URL AIA che lo indichi, Windows si fermerà nella CA intermedia.

Allo stesso modo, l'URL può aiutare un client SSL a costruire un percorso completo. Quando un server SSL richiede un certificato dal client, invia l'elenco dei nomi delle CA principali che utilizzerà per convalidare il certificato client. Il cliente non ha bisogno di fidarsi del proprio certificato (ricorda che il tuo certificato è per le altre persone, non per te) ma l'URL può aiutare il cliente a capire che il suo certificato risiede in realtà in una delle CA radice di cui il server si fida.

L'URL può supportare le evoluzioni future. In questo momento, hai la tua radice, ma forse in futuro potresti fare un accordo con una CA radice più grande esistente che accetterà di emettere un certificato CA intermedio per la tua radice. A quel punto, i certificati emessi dalla tua radice dovrebbero avere un URL che punta a quel nuovo certificato "CA intermedio", per aiutare nella costruzione del percorso (i clienti che si fidano della tua radice non ne avranno bisogno, ma aiuterà i clienti che si fidano solo del altra, radice più grande). Spingendo un URL significativo ora assicurati di mantenere quella carta nel tuo gioco.

    
risposta data 28.05.2015 - 20:39
fonte