Cadena de certificados: certificado intermedio y raíz: ¿se requiere un certificado?

En resumen: los certificados intermedios deben enviarse dentro del protocolo de enlace TLS (necesita una configuración adecuada del servidor) y solo la CA local del cliente se considerará como anclajes de confianza.

En detalle:

  

... verifique que no tenga la ca (clave pública de ca intermedia), ¿descargará automáticamente el certificado intermedio (por ejemplo, COMODORSAAddTrustCA.crt) de mi servidor web?

Ningún navegador descargará el certificado de su sitio. Si faltan certificados intermedios en el protocolo de enlace TLS, algunos navegadores pueden intentar descargar el certificado de otros sitios, pero no debe confiar en él. Google Chrome en el escritorio parece hacerlo, otros navegadores no.

  ¿

o le preguntará al usuario final (usando el navegador) si él / ella quiso instalar esos certificados?

No, no habrá ninguna pregunta. Solo un error de que el certificado no puede ser validado.

  

... ¿mi servidor web enviará el certificado raíz y el navegador le preguntará si desea instalar el certificado raíz o no?

No. Sería estúpido si un navegador confiara en cualquier certificado raíz aleatorio enviado por un servidor, porque entonces los ataques de hombre en el medio serían simples. Incluso las indicaciones no ayudarán mucho porque la mayoría de los usuarios solo harán clic en cualquier diálogo que no entiendan. Los navegadores solo confiarán en la CA enviada con el navegador o provista por el sistema operativo y la CA instalada explícitamente. Instalar una nueva raíz es más compleja y, por lo general, implica que el usuario descarga, instala y explícitamente confía en el certificado de CA.

  

¿Cómo veo cuáles son los certificados raíz que ya están instalados en el navegador?

Hay mucha información sobre esto en internet. Simplemente siga los enlaces de la busque "ver el buscador de certificados raíz" . Tenga en cuenta que las formas reales dependen del navegador y del sistema operativo.

Primero, debe leer la pregunta más famosa de este sitio: ¿Cómo funciona SSL? / TLS work? , tener un buen conocimiento de TLS aclarará muchas de sus preguntas.

Respondiendo a sus preguntas:

  

a) Cuando un navegador visita mi sitio ... ¿se le preguntará al usuario final (usando el navegador) si él / ella quiso instalar esos certificados?

No, visitar un sitio en un navegador nunca dará como resultado que el usuario instale certificados. Cuando instala un certificado en el almacén de confianza de su sistema operativo, dice "Sé el origen de este certificado y confío en él completamente". ¿Cómo podría confiar en un certificado que me dio un sitio al azar que acabo de visitar? ¿Cómo sé que el certificado que descargué en realidad pertenece al sitio, y no a un atacante de tipo intermediario?

  

b) Si un navegador no tiene el certificado raíz del código raíz que emite los certificados intermedios / mi certificado, ¿qué ocurrirá?

Simple, el certificado no se validará y el navegador lanzará advertencias de enojo.

Su tienda de confianza de certificados se completa con certificados raíz que han sido revisados adecuadamente por equipos de expertos en seguridad en Google / Chrome, Mozilla / Firefox, Apple, Microsoft, etc. (estos se denominan "certificados anclados"). Si un certificado no fue emitido por una raíz confiable, entonces ... no es confiable. Instalar un certificado raíz aleatorio para sortear una raíz confiable es básicamente lo mismo que deshabilitar el análisis de virus porque le dijo que el archivo que está intentando abrir contiene un virus. Estos mecanismos de seguridad existen por una razón: ¡escúchalos!

  

c) ¿Cómo veo cuáles son los certificados raíz que ya están instalados en el navegador?

En Chrome está en la configuración aquí: (está en lugares similares en otros navegadores)