Qual è lo scopo di CA-BUNDLE su un server web?

Naviga le tue risposte
1

Quindi acquisto un certificato da DigiCert. Il processo ha questo tipo:

  • Genera chiave privata e CSR sul server web.
  • Invia CSR a DigiCert.
  • Recupera un certificato firmato e il certificato radice e il certificato intermedio (CA-BUNDLE).
  • Carica il certificato e CA-BUNDLE sul server web tramite cPanel, Plesk, w \ e.

La mia domanda è semplicemente, qual è lo scopo del CA-BUNDLE?

Il mio certificato viene firmato da una DigiCert Intermediate CA firmata dalla CA principale di DigiCert. Tutti i browser si fidano di DigiCert (e presumo che sia CA intermedio?). La crittografia RSA effettiva e lo scambio di chiavi AES vengono eseguiti utilizzando i valori nel mio certificato, infatti il server Web non utilizza nessuno dei certificati nel pacchetto CA per qualcosa.

Con ciò detto, qual è il punto? e perché devo caricarlo? L'unica cosa che posso vedere è che se il client non ha uno dei certificati intermedi installati può chiedere il mio server web (e verificarlo con la radice DigiCert nel browser)?

    
posta ola_991 18.02.2015 - 17:30
fonte

1 risposta

2

All browsers inherently trust DigiCert

Abbastanza vero.

(and I assume it's intermediate CA?)

I client possono includere certificati intermedi di fiducia, ma non ci si può aspettare che . È compito tuo, il server, fornire tutti i certificati intermedi necessari per convalidare la catena di certificati fino alla radice ( RFC 5246 7.4.2 ): 

   certificate_list
      This is a sequence (chain) of certificates.  The sender's
      certificate MUST come first in the list.  Each following
      certificate MUST directly certify the one preceding it.  Because
      certificate validation requires that root keys be distributed
      independently, the self-signed certificate that specifies the root
      certificate authority MAY be omitted from the chain, under the
      assumption that the remote end must already possess it in order to
      validate it in any case.

The only thing I can see is if the client doesn't have one of the intermediate certificates installed it can ask my web server for it (and verify it against the in-browser DigiCert root)?

Una corretta. Questo è esattamente il motivo.

    
risposta data 18.02.2015 - 17:58
fonte

Leggi altre domande sui tag

È possibile passare attraverso il proxy mentre PK Pinning è abilitato? È possibile rilevare google-services.json dopo l'applicazione di reverse engineering?