¿Cómo se instala Root CA en una máquina cliente cuando se conecta por primera vez a un servidor?

Question

¿Cómo se instala Root CA en una máquina cliente cuando se conecta por primera vez a un servidor?

#1 de techraf (5 votos)

4

Leí sobre la autenticación del servidor a través de la web y pude saber que la CA raíz del emisor debería importarse a la CA raíz confiable en las máquinas cliente y servidor para la autenticación mutua.

Ahora digamos que es la aplicación bancaria y el usuario se conecta al servidor del banco por primera vez:

El servidor devuelve el certificado del servidor para validarse al cliente.
El cliente obtiene el certificado y lo valida con una autoridad de CA raíz confiable que haya firmado este certificado de servidor anteriormente.
El cliente envía su certificado y el servidor se valida con una autoridad de CA raíz de confianza que ha firmado este certificado de cliente anteriormente.
Ahora comienza la comunicación.

Paso 3: entiendo que una autoridad de CA raíz de confianza se instaló en el servidor cuando se implementa el servidor.

Pero en el paso 2, cuando la máquina cliente se conectó por primera vez (y el usuario puede conectarse dinámicamente desde cualquier máquina), ¿cómo se instaló la autoridad de CA raíz en la máquina cliente?

authentication public-key-infrastructure certificates certificate-authority

pregunta Suri 02.12.2016 - 07:45

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication public-key-infrastructure certificates certificate-authority

Pregunta de informe de SSL Labs: ¿Es posible una "renegociación insegura" si las suites de cifrado débil no están disponibles en el servidor? Explotación de seguridad de iframe HTML

score 5 · Accepted Answer

Para PKI, un conjunto de certificados de CA raíz de confianza se suministra con un dispositivo, un sistema operativo o un software de terceros.

Por ejemplo, Microsoft, Google, Mozilla o Apple mantienen bases de datos de certificados raíz de confianza y les proporcionan sus productos:

Algunas otras compañías (como Lenovo o Dell ) en lugar de infame para agregar certificados raíz a su sistema operativo preinstalado.

En entornos empresariales, es posible que se distribuyan certificados adicionales a las estaciones de trabajo con el uso de un software de administración.

Por otra parte, si por "aplicación bancaria" quiere decir una aplicación instalada en la máquina cliente, entonces si no utiliza PKI, el certificado debe venir incluido con la aplicación.