Pregunta sobre el certificado SSL y el servidor de terceros

3

Tengo un sistema que consume servicios web de un servidor público en Internet (pero los datos no son públicos). Tengo que proporcionar credenciales en Autenticación básica para obtener los datos, por eso utilizamos SSL.

El propio servidor tiene un certificado SSL y está firmado por un Certificado de Emisor de, por ejemplo, "Compañía A", que está firmado por una CA raíz (digamos la Compañía B).

Mi pregunta es sobre qué certificado debo colocar en mi almacén de confianza (una Java JVM) y cuáles son las mejores prácticas.

Sé que si puse el certificado del servidor, cuando caduque, tengo que renovarlo, pero por ejemplo veo que ya lo cambiaron antes de la fecha de caducidad (como dos meses antes). Si confío en el Certificado de Emisor (Compañía A) o en la CA Raíz (Compañía B), me temo que confío en demasiados servidores que no necesito por ahora.

    
pregunta рüффп 03.02.2016 - 09:26
fuente

2 respuestas

2

La mejor práctica es confiar en la CA raíz, por razones muy prácticas.

Las CA raíz son una bestia especial y se espera que tengan una vida útil muy larga (20 años o más) porque requieren reemplazo en el software cliente, que generalmente es un proceso manual.

Se espera que los certificados intermedios y de servidor cambien con frecuencia; en algunos casos (por ejemplo, el equilibrio de carga) pueden cambiar minuto a minuto. No debe esperar recibir ninguna notificación del operador del servidor cuando cambie el certificado.

Si coloca la CA raíz en su almacén de confianza, está diciendo "Confío en esta CA: todos los certificados firmados por esta CA están de acuerdo conmigo". Por lo general, está bien, ya que el objetivo de la CA es proporcionar una firma confiable para servidores desconocidos.

La única vez que querría usar un certificado de servidor es cuando no confía en la CA, pero eso causa más problemas, y tal vez TLS no sea el enfoque correcto en este caso.

    
respondido por el Colin Pickard 03.02.2016 - 10:20
fuente
1
  • Si desea confiar en cualquier certificado emitido por A o B, póngalos en la tienda de confianza.
  • Si desea aceptar solo este certificado específico como de confianza, solo debe agregar este certificado. Pero tiene razón en que tiene problemas cuando se renuevan los certificados.
  • Si solo desea confiar en este certificado específico, pero también quiere aceptarlo si se renueva, puede confiar en el CA A o B, pero adicionalmente debe usar fijación de clave pública . De esta manera solo confiarás en cualquier certificado que contenga esta clave pública. Dado que con la renovación de la clave pública anterior a menudo se reutiliza para el nuevo certificado, también seguirá aceptando este certificado renovado.
respondido por el Steffen Ullrich 03.02.2016 - 10:19
fuente

Lea otras preguntas en las etiquetas