Versiones múltiples del certificado de firma SSL

Navega tus respuestas
3

Estaba revisando la cadena SSL en onlineaccess.ncsecu.org porque una falla en la red me hizo paranoico. Tanto Firefox como IE en mi computadora tienen esta cadena:

onlineaccess.ncsecu.org
Número de serie 6C: 16: 7D: 5A: D0: A3: 0B: 06: D2: C1: DE: A4: 7C: C4: A9: 23
 ^
Servidor seguro de clase 3 de Symantec - G4
Número de serie 51: 3F: B9: 74: 38: 70: B7: 34: 40: 41: 8D: 30: 93: 06: 99: FF
 ^
Autoridad de certificación primaria pública VeriSign clase 3 - G5
Número de serie 18: DA: D1: 9E: 26: 7D: E8: BB: 4A: 21: 58: CD: CC: 6B: 3B: 4A

Sin embargo, varios sitios de verificación de cadenas SSL en Internet, por ejemplo, enlace , diga que el certificado VeriSign G5 al final de esa cadena tiene un número de serie diferente: 25: 0c: e8: e0: 30: 61: 2e: 9f: 2b: 89: f7: 05: 4d: 7c: f8: fd. Todos están de acuerdo en los otros dos certificados de la cadena.

Entonces, ¿existen realmente dos versiones legítimas diferentes del certificado de VeriSign que se pueden usar para firmar el mismo certificado secundario?

    
pregunta Sam Skuce 03.07.2015 - 17:18
fuente

2 respuestas

3

Como señala steffen, hay una diferencia entre la clave pública y la huella digital del certificado. La misma clave pública puede reutilizarse en un nuevo certificado. Un ejemplo común sería reemplazar un certificado que expirará pronto.

Lo triste es que la herramienta y el sitio web de Symantec son, en el mejor de los casos, engañosos y, en el peor, confusos.

Symantec comenzó a tener sistemas operativos y navegadores que utilizan el certificado G5 más reciente (que finaliza en 3b 4a) hace años. Esa es la razón por la cual cuando realizas un análisis obtienes esa cadena. Se necesitaría un navegador y / o sistema operativo muy antiguo para resolver la cadena utilizando el antiguo certificado G5 (finalizando f8 fd).

La cadena que resuelve la herramienta de Symantec no se resuelve. Lo que significa que el último certificado no es un certificado raíz. El certificado raíz que firmó el certificado G5 anterior (finalizando f8 fd) ya no se usa, lo que lo hace doblemente confuso. Muestran una cadena incompleta y la antigua cadena obsoleta.

Versión simple su sitio está bien, su navegador está bien, su sistema operativo está bien. Sin embargo, Symantec no puede molestarse en mantener su propia herramienta actualizada.

    
respondido por el Gerald Davis 03.07.2015 - 19:32
fuente
4
  

Entonces, ¿existen realmente dos versiones legítimas diferentes del certificado de VeriSign que se pueden usar para firmar el mismo certificado secundario?

La firma se realiza mediante la clave pública en el certificado. Ambos certificados tienen la misma clave pública, por lo que ambos pueden usarse para verificar la firma. La diferencia es que 18:da:d1:9e:26:7d:... se emite solo mientras que 25:0c:e8:e0:30:61:2e:... está firmado por C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority .

Dicha configuración es común si se quiere introducir una nueva CA raíz, como cuando se cambia la calidad de la clave pública, es decir, de 1024 bits a 2048 bits. Debido a que toma un tiempo para que esta nueva CA sea confiable en todas partes, primero se firma la nueva CA raíz por una CA raíz confiable para que los navegadores puedan verificar la ruta de confianza. Una vez establecida esta nueva CA, se puede abandonar la antigua CA raíz.

    
respondido por el Steffen Ullrich 03.07.2015 - 18:38
fuente

Lea otras preguntas en las etiquetas

Maneras en torno a la detección xss del navegador Extraño proceso 'agetty' ejecutándose en mi VPS.