¿Debería la Autoridad de confianza SSL de su cliente contener solo certificados raíz e intermedios?

Question

¿Debería la Autoridad de confianza SSL de su cliente contener solo certificados raíz e intermedios?

#1 de tylerl (3 votos)
#2 de D.W. (2 votos)

5

Estoy obteniendo información conflictiva y parece que las personas están usando los certificados de manera un poco diferente según el esfuerzo que quieran gastar en su gestión y tal vez la aplicación que se esté utilizando.

Aparte de los certificados de clientes, este es mi entendimiento: Un servidor tiene un certificado firmado de una CA. Un cliente debe incluir solo los certificados intermedios y / o raíz de la CA en su Autoridad de confianza (la tienda depende de la aplicación, por supuesto). Siempre que cualquier certificado de host nuevo o renovado siga utilizando las mismas raíces, el cliente no tiene que preocuparse por los cambios en el certificado del servidor.

Los socios de FTP con los que trato están actualizando o cambiando sus certificados de servidor y enviándolos a mí. Veo muchas implementaciones de clientes que solo agregan los certificados de servidor a la Autoridad de confianza. Por lo que (creo que sé), esto no solo me permite administrar más cuando caducan estos certificados (anualmente), sino que también pierdo el beneficio de las CRL (¿o las CRL solo funcionan para los sistemas operativos y los navegadores?) Pensé que solo se añaden Certificados firmados a tiendas de Trusted Authority.

Entonces, ¿tengo derecho solo a agregar raíces e intermedios a los almacenes de Trusted Authority, o tengo algún beneficio al agregar cada certificado de servidor? ¿Esto realmente importa y es solo una preferencia?

tls ftp

pregunta Mike 09.09.2012 - 04:45

fuente

2 respuestas

Lea otras preguntas en las etiquetas tls ftp

¿Cifrar el mismo archivo dos veces con dos claves diferentes representa un riesgo de seguridad? Android, cómo proteger en caso de robo

score 3 · Answer 1

Su cadena de confianza debe estar anclada en un certificado de confianza en algún lugar. Agregar el certificado "raíz" (lo que sea) es suficiente para establecer esa confianza. Sin embargo, si el servidor no envía un certificado de encadenamiento que vincula el certificado de servidor con el certificado de confianza durante la conexión, y su cliente no tiene una copia de ese certificado de encadenamiento, no se puede establecer la cadena de confianza completa. / p>

Entonces, en ese caso, agregar el certificado intermedio ayudaría. El propio certificado del servidor siempre se envía durante las negociaciones de SSL, por lo que confiar en ESE certificado simplemente ancla la confianza allí mismo, evitando la necesidad de validar a otra autoridad confiable y evitando potencialmente cualquier componente faltante en el camino.

En cuanto a las CRL, si confía directamente en el certificado del servidor, no se consultará ninguna CRL. La verificación de la CRL depende de la implementación del software del cliente, y puede o no ser una característica compatible.

score 2 · Answer 2

Para responder a su pregunta, está bien (desde una perspectiva de seguridad) agregar el certificado del servidor a su tienda de confianza. Puede agregar el certificado CA o el propio certificado del servidor.

La compensación principal tiene que ver con la capacidad de administración, no con la seguridad. Usted explicó bien algunos de los problemas de capacidad de administración.

Si el certificado del servidor está firmado por una CA conocida, lo normal sería agregar el certificado CA a su tienda de confianza. Sin embargo, es posible que sus corresponsales estén utilizando certificados autofirmados que no están certificados por ninguna CA. En ese caso, agregar la CA a su tienda de confianza no es una opción, y puede verse obligado a agregar su certificado de servidor a su tienda de confianza.