¿Se supone que debe ver a Root CA en la cadena SSL?

Question

¿Se supone que debe ver a Root CA en la cadena SSL?

#1 de Steffen Ullrich (4 votos)

3

Estoy confundido en cuanto a lo que el navegador muestra como cadena SSL frente a lo que hace openSSL. A continuación se muestra un ejemplo de cómo se ve la cadena SSL para enlace desde el navegador y desde SSL abierto. Como puede ver, SSL abierto muestra que Comodo RSA Certification Authority tiene en realidad un padre llamado AddTrust External CA Root mientras no se muestra en el navegador.

CONNECTED(00000003)depth=3C=SE,O=AddTrustAB,OU=AddTrustExternalTTPNetwork,CN=AddTrustExternalCARootverifyreturn:1depth=2C=GB,ST=GreaterManchester,L=Salford,O=COMODOCALimited,CN=COMODORSACertificationAuthorityverifyreturn:1depth=1C=GB,ST=GreaterManchester,L=Salford,O=COMODOCALimited,CN=COMODORSAExtendedValidationSecureServerCAverifyreturn:1depth=0serialNumber=3910805,jurisdictionC=US,jurisdictionST=Delaware,businessCategory=PrivateOrganization,C=US,postalCode=07013,ST=NewJersey,L=Clifton,street=Suite100,street=1255BroadSt,O="Comodo Security Solutions, Inc.", OU = COMODO EV SSL, CN = www.comodo.com verify return:1

tls openssl

pregunta Gregory Suvalian 05.11.2018 - 13:43

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls openssl

Control de acceso y autenticación mediante tokens de acceso de Facebook en una aplicación web Paquete entrante desde el puerto de origen 80

score 4 · Accepted Answer

La cadena de confianza calculada depende de los certificados raíz en el almacén de confianza y del algoritmo para calcular la cadena de confianza. En este caso específico, el servidor envía los siguientes certificados:

 0 ... CN=www.comodo.com
 1 ... CN=COMODO RSA Extended Validation Secure Server CA
 2 ... CN=COMODO RSA Certification Authority

El emisor de [0] es [1], de [1] es [2] y de [2] es ...CN=AddTrust External CA Root .

El navegador tiene certificados autofirmados para CN=COMODO RSA Certification Authority en el almacén de confianza y prefiere cadenas de confianza cortas y, por lo tanto, calcula una cadena de confianza que termina con estos certificados. Tenga en cuenta que el CN=COMODO RSA Certification Authority que tiene el navegador es un certificado de CA autofirmado (es decir, una CA raíz) y no el mismo certificado que envía el servidor. Sin embargo, ambos tienen la misma clave pública (y, por lo tanto, privada) para que ambos puedan usarse para validar con éxito la firma de CN=COMODO RSA Extended Validation Secure Server CA .

openssl también tiene este certificado en el almacén de confianza, pero también tiene un certificado para CN=AddTrust External CA Root . Ya que OpenSSL primero intenta la ruta de confianza más larga, mostrará la ruta que termina con la raíz AddTrust. Si el certificado AddTrust no hubiera estado en el almacén de confianza, también habría mostrado la cadena de confianza corta que termina con CN=COMODO RSA Certification Authority . Este sería al menos el caso con OpenSSL 1.02 y versiones posteriores. La versión anterior fallaría la validación si el último certificado en la cadena de envío no tuviera un certificado raíz de emisión en el almacén de confianza.