¿El cliente envía una solicitud a CA cuando se trata de un protocolo SSL?

4

En otras palabras, si la Autoridad de certificación deja de funcionar, ¿significa esto que todos los sitios HTTPS que compraron certificados SSL de esta CA tampoco estarán disponibles?

    
pregunta Oleg 02.04.2016 - 10:04
fuente

2 respuestas

7

Kinda. El navegador verifica que el certificado fue emitido por la CA sin comunicarse con la CA. Pero el certificado podría haber sido revocado desde entonces, por ejemplo, porque la clave privada del sitio se filtró. Para verificar que el certificado no haya sido revocado, el navegador debe comunicarse con el sitio de CRL u OCSP de la CA. Si están fuera de servicio, no hay forma de saber si se revoca el certificado. En la práctica, debido a que mantener esos sitios abiertos es costoso, a menudo están inactivos y los navegadores modernos no comprueban o intentan verificar pero no fallan en la conexión si la CA no está disponible. Así que un certificado seguirá funcionando si su CA está fuera de servicio. Si la CA se cae de forma permanente, no puede revocar el certificado, lo cual es un problema.

Para resolver los problemas de escalabilidad con CRL y OCSP, se inventó el grapado OCSP. Su sitio se comunica con la CA una vez al día para obtener una nota firmada que dice "en este momento, el certificado no ha sido revocado" y pasa esta nota firmada al navegador. Esto deja una ventana de un día durante el cual el certificado podría haber sido revocado y su navegador no sospechará nada, lo cual es mejor de lo que tenemos ahora.

    
respondido por el Z.T. 02.04.2016 - 18:26
fuente
3

No. El certificado raíz de la CA generalmente se instala en el almacén de certificados del cliente. Cuando el cliente realiza una solicitud de protocolo de enlace, recibe el certificado del sitio (al que me referiré como example.com). El certificado para example.com incluirá un certificado raíz y posiblemente un certificado intermedio, y el cliente (en este caso, el navegador) verificará su almacén de certificados para ver si contiene el certificado raíz.

Básicamente, si el sitio web de la CA cae, no tiene ningún efecto en los sitios que compraron certificados de la CA.

    
respondido por el Philip Rowlands 02.04.2016 - 10:15
fuente

Lea otras preguntas en las etiquetas