¿Cuáles son los riesgos de no depender de la cadena de certificados para la validación de certificados SSL y, en su lugar, importar el certificado como confiable?
Uno está relacionado con el hecho de que la cadena de validación generalmente incluye un servicio de CRL y / o OCSP para consultar certificados no válidos, pero por lo demás legítimos.
En otras palabras, un certificado puede ser técnicamente válido, pero se ha invalidado debido a que su clave privada se vio comprometida: CRL y OCSP son formas estandarizadas de tratar con la revocación, lo que no suele ser el caso de la administración manual de certificados.
También tiendo a pensar que esto es un desperdicio de recursos: ¿por qué dedicar un esfuerzo adicional a satisfacer una necesidad que tiene una solución mejor y más precisa, estandarizada?
Especialmente en cualquier escala, seguramente esto también es ineficiente: en comparación con la raíz (o, por ejemplo, 5 CA intermedias + intermedias) en las que podría confiar, tendría que distribuir X certificados de entidad final y, además, estaría vinculado al ciclo de vida de la CA emisora para certificados en cuanto a la necesidad de redistribuir nuevos certificados.
¿Qué riesgos adicionales, si los hay, existen para no mantener actualizada la lista de CA raíz de confianza?
Como se mencionó, la revocación es un área que viene a la mente: sin un mecanismo de revocación efectivo, una autoridad de certificación de confianza simplemente indica que algo era, en algún momento, de confianza. No tiene un significado claro sobre si se confía en este mismo "algo" ahora.
Sin mantener sus raíces confiables, tiendo a pensar que está representando gran parte del propósito de x509: la confianza es una propiedad transitiva, y todas las suposiciones en contrario tienden a ser explotadas con propósitos maliciosos.