Perché Windows Windows suggerisce / ha certificati CA intermedi completamente diversi (e apparentemente validi) per un dato certificato foglia?

Question

Perché Windows Windows suggerisce / ha certificati CA intermedi completamente diversi (e apparentemente validi) per un dato certificato foglia?

#1 da (4 voti)

1

È normale che più certificati CA intermedi abbiano lo stesso Subject Key Identifier ? Perché succede? Ho sempre pensato che fosse un attributo unico.

Mi sono imbattuto in alcuni casi strani in cui la CA intermedia che Windows suggerisce (sotto la sezione Certification Path di Crypto Shell Extensions ) appartiene a una sequenza catena diversa da quella fornita dall'autorità di certificazione .

Ad esempio, qui ci sono due Intermedi GoDaddy. "Rilasciato a:" è lo stesso ma "Rilasciato da:" è diverso:

SecontrolloSubjectKeyIdentifierperentrambi,sonoglistessi:

Unosembraessereunaradicemal'altroèunintermedio:

Windows è pre-caricato con uno ma la CA (GoDaddy in questo caso) mi ha dato l'altro.

Quindi, perché esistono e qual è la differenza tra loro? Nessuno dei due sembra essere stato revocato e non ho aggiunto manualmente nessuno di questi certificati CA intermedi al mio TrustStore di Windows.

certificates

posta Mike B 08.01.2016 - 22:30

fonte

1 risposta

Leggi altre domande sui tag certificates

Come applicare la forza bruta Autenticazione di base HTTP richiesta con XHR? Perché ci sono Hash accanto ai download? [duplicare]

score 4 · Answer 1

Spesso si trovano certificati con lo stesso oggetto, chiave pubblica e identificativo della chiave soggetto, ma questi differiscono solitamente nell'algoritmo della firma o nell'emittente. Poiché i dettagli rilevanti per la convalida della catena sono gli stessi, ciascuno di questi può essere utilizzato per costruire la catena di fiducia, che spesso rende possibili più catene di fiducia. La speranza è che almeno una di queste catene di fiducia possa essere costruita per tutti i clienti rilevanti.

Tali certificati "duplicati" si verificano se un certificato viene riscritto con un nuovo algoritmo di firma (vale a dire passaggio da SHA-1 a SHA-256). È anche fatto per la nuova CA come Let's Encrypt che non si trova nel trust store di tutti i SO / browser quando iniziano. Pertanto creano due certificati simili: uno autofirmato per l'inclusione nel truststore e un altro firmato da una CA già attendibile. Per un esempio di tale cross signing la descrizione dei certificati usati da encrypt .