Ho sperimentato un po 'con i certificati auto-emessi.
Ho impostato un'autorità di certificazione, emesso un certificato e l'ho installato su un server web.
Successivamente ho cancellato quel certificato senza preoccuparmi di revocarlo e ho decrementato il numero nel file serial.txt
che stava usando openssl. (Non c'erano buoni motivi per farlo, ma sembrava una cosa innocua da fare).
Dopodiché, ho usato l'autorità di certificazione per ri-emettere un nuovo certificato. Quando installo quel certificato sul server web e lo accedo, Firefox mi mostra un errore:
Your certificate contains the same serial number as another certificate issued by the certificate authority. Please get a new certificate containing a unique serial number. Error code: SEC_ERROR_REUSED_ISSUER_AND_SERIAL
Presumo che sto ricevendo questo errore a causa del fatto che ho decrementato il file serial.txt
, quindi il certificato appena rilasciato aveva lo stesso numero seriale di un'incarnazione precedente.
Le mie domande sono:
- In che modo il mio browser lo sa? Mantiene un database da qualche parte di CA / numeri di serie che ha visto prima?
- Perché è importante? Quali rischi per la sicurezza sarebbero implicati se il mio browser avesse semplicemente ignorato il numero seriale duplicato?