Mi è stato chiesto di connettermi a un sito sicuro di un'agenzia governativa che utilizza i certificati client per autenticare i propri client. Ho ricevuto via e-mail un certificato client crittografato come file PKCS # 12 e con altri mezzi la password per il file.
Il fatto interessante è che contiene anche il file PKCS12 un'autorità di certificazione della radice per tale agenzia governativa; quando tu installa il certificato in Firefox, si fiderà anche della CA radice associata. Quando si installa su Windows, verrà richiesta l'installazione e l'affidabilità CA radice associata.
Il sito governativo utilizza TLS con un certificato generato da quella particolare CA principale, quindi penso che questo sia il motivo per cui è stato raggruppato in primo luogo.
Ma ... dal punto di vista del cliente, fidarsi di questa nuova CA radice è un vero problema di sicurezza.
Credo che questo sito avrebbe potuto essere creato in un modo diverso che non avrebbe comportato piantare una nuova CA radice nei suoi client (es. Utilizzare il certificato client utilizzando la CA autofirmata mentre si utilizza il certificato Web di una CA di fiducia pubblica )
Questa agenzia governativa sta cercando di essere dannosa con la sua CA principale, o è solo una soluzione accettabile e conveniente?
nb: esiste una buona documentazione per TLS sul Web, ma non sulla distribuzione dei certificati client. Non sono riuscito a trovare le migliori best practice documentate per l'implementazione di tale "piattaforma" utilizzando l'autenticazione del certificato client.