¿Por qué COMODO tiene 5 certificados raíz en una computadora portátil Apple nueva?

4

¿Por qué Apple incluye 5 certificados raíz de COMODO en OS X? Hay "AddTrust {Clase 1, Externa, Pública, Calificada} Raíz de CA" y también "COMODO Raíz Certificado".

¿Por qué no es suficiente una, si es propiedad de una empresa?

    
pregunta Andrey Fedorov 21.07.2015 - 05:37
fuente

1 respuesta

5

En mi navegador (Chrome en Windows) tengo certificados para ambas CAs. No estoy completamente seguro de a qué se dirige su pregunta (¿Por qué una CA tendría más de un certificado? ¿Por qué una CA emitiría un certificado no raíz? ¿Por qué OS X no se envía con el certificado raíz?). Si pudieras actualizar tu pregunta con más detalle, sería genial, pero mientras tanto, intentaré responder la pregunta más general.

¿Por qué una CA emitiría un certificado no root?

Es muy común que una CA pública utilice una CA no raíz para emitir certificados de cliente. En lo que respecta al establecimiento de confianza, solo importa que los certificados de clientes puedan volver a conectarse a la raíz que se encuentra en su navegador, ya que la CA intermedia que la emitió es irrelevante en su mayor parte.

Hay varias razones para configurar una jerarquía de CA como esta, algunas están relacionadas con la seguridad y otras están relacionadas con la TI. Veamos un ejemplo de configuración de CA (no es la mejor imagen, pero vamos con eso):

Razonesporlasquepodríaconfigurarlodeestamanera:

IT/Administrative

UnaCApuedetenervariosdepartamentosdemarketingqueemitencertificadosSSL.Talvezestosdepartamentosseencuentrenendiferentesubicacionesfísicas,quizásesténsujetosadiferentesleyes,otalvezsoloesténendiferentesdepartamentosdelacompañía.Decualquiermanera,esprobablequedeseequelosadministradoresdecadadepartamentonotenganaccesoalaCAparaotrosdepartamentos.

Seguridad

¿QuésucedesisuCAraízsevecomprometida?¿Cómoterecuperasdeeso?Ustedno,suempresaquiebra, ya sucedió .

Si, en cambio, es una CA intermedia que se compromete, tiene opciones. Si cada CA intermedia está en una red diferente con administradores diferentes, es muy probable que pueda cerrarla sin comprometer ninguna otra CA. Debe tener cuidado con los aspectos técnicos y de relaciones públicas, pero es posible trasladar los certificados de los clientes de la AC comprometida a otra CA sin que la gente pierda la confianza en usted. No es fácil, pero tienes opciones.

CA raíz no conectada

Por estas razones, es común que las CA comerciales tengan su raíz como una máquina que nunca, en ningún momento, esté conectada a una red. Su único trabajo en la vida es emitir certificados para las AC inmediatamente debajo, luego lo apaga y lo coloca en una bóveda. Buena suerte hackeando eso.

Supongo que al ver esos dos certificados que vinculaste es que

C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root

es una raíz sin conexión, y

C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO Certification Authority

(que está subordinado a la primera) es una CA departamental regional (aunque la aclaración de su pregunta ayudaría).

    
respondido por el Mike Ounsworth 21.07.2015 - 17:58
fuente

Lea otras preguntas en las etiquetas