¿Por qué Windows tiene un lugar para almacenar certificados SSL intermedios?

4

Como entiendo el proceso de verificación del certificado SSL de una computadora remota, el sistema remoto envía su certificado "hoja" y cualquier certificado intermedio, pero no el certificado raíz. La ejecución de este comando openssl muestra que el servidor remoto no envía el certificado raíz:

openssl s_client -showcerts -connect www.stackoverflow.com:443

Es responsabilidad del cliente verificar que el certificado de hoja fue firmado por el primer certificado intermedio, que el primer intermedio fue firmado por el segundo y así sucesivamente. En última instancia, la firma en el último certificado proporcionado por el sistema remoto se verifica para verificar que esté firmada por un certificado raíz en el que ya se haya confiado, es decir, que ya se encuentre en el 'almacén de confianza'.

Entonces, aquí está la pregunta: ¿por qué usted, como cliente, desea almacenar un certificado intermedio? El almacén de certificados de Windows tiene un área designada para almacenar "Autoridades de certificación intermedias". ¿Para qué sirve? ¿Hay algún caso en el que se necesite almacenar certificados intermedios?

    
pregunta Dave Mulligan 22.05.2015 - 18:25
fuente

3 respuestas

1

Creo que su comprensión es correcta. Creo que Windows almacena intermedios porque:

1) Tener copias locales de certificados intermedios le permite "hacer frente" a los escenarios de conexión donde el servidor remoto no está encadenado correctamente. He visto situaciones en las que un servidor web no está configurado correctamente pero IE no se queja.

2) Los certificados se utilizan para otras herramientas basadas en Windows. Por ejemplo, al analizar un certificado con el programa Crypto Shell Extensions , hay una pestaña "Ruta de certificación" que intenta mostrar la cadena completa (no SIEMPRE precisa).

3) Permite que la estación de trabajo realice roles SSL basados en servidor si es necesario (por ejemplo, si tuviera que instalar algún software local que tuviera una interfaz web).

4) Es posible que permita que Windows, IE o cualquier otra cosa que aproveche el almacén de certificados tenga un punto de referencia confiable para cert pinning . Sin embargo, no estoy seguro de hasta qué punto Windows hace esto.

    
respondido por el Mike B 22.05.2015 - 19:46
fuente
1

Solo puedo suponer que es para habilitar el almacenamiento en caché de los certificados utilizados con frecuencia, para que el AIA no se consulte ni descargue para los certificados de entidades finales

    
respondido por el random65537 22.05.2015 - 18:50
fuente
1

Una máquina fuera de línea que todavía quiere verificar las firmas de código, tal vez.

    
respondido por el StackzOfZtuff 22.05.2015 - 20:51
fuente

Lea otras preguntas en las etiquetas