¿Dos CA intermedias firmadas por la misma CA raíz confiarán en los certificados firmados del cliente?

3

Tengo dos CA intermedias que firman certificados para los usuarios de sus clientes, como esto:

             ROOT CA
             /      \
            /         \
           /           \
   Intermediate A    Intermediate B
     /                  \
  Client A               Client B

Ejecuto un servicio, el Servicio A, que valida a los clientes utilizando la cadena de certificados del Intermedio A. Entonces, el Cliente A se conecta al Servicio A y se autentica. Quiero configurar un Servicio B que use la cadena del Intermedio B para que no confíe en los clientes que presentan certificados firmados por el Intermedio A.

Si el Cliente B tiene un certificado firmado por el Intermedio B y esta persona intenta conectarse al Servicio A (que utiliza la cadena del Intermedio A), ¿se autenticará?

    
pregunta Chris Snell 08.10.2016 - 05:57
fuente

1 respuesta

2

TL; TR: depende de la configuración exacta de qué CA son confiables en cada servicio.

Autenticación significa que se puede construir una cadena de confianza a una CA de confianza local. Esto significa:

  • Si el servicio A confía solo en el intermediario A, pero no en la CA raíz, confiará en los certificados firmados con el intermediario A, pero no en los certificados firmados con el intermedio B porque no se puede construir una cadena de confianza desde el intermedio A a los certificados firmados por el intermedio B. Similares es el comportamiento del servicio B.
  • Si el servicio A en su lugar o además confía en Root CA, confiará en cualquier certificado firmado directa o indirectamente por Root CA, siempre que tenga conocimiento de los certificados intermedios necesarios. Por lo tanto, si el cliente B envía su certificado de cliente y también el certificado del emisor (es decir, el intermedio B), el servicio A confiará en él porque puede construir la cadena de confianza.

Tenga en cuenta que la última declaración solo es verdadera si el servicio A no emplea ninguna restricción adicional. Estas restricciones pueden incluir un límite para la longitud de la cadena de confianza: si el servicio A solo acepta certificados emitidos directamente por su CA de confianza, el envío del certificado y el intermedio para B no lo harán confiar en el cliente B. La restricción también puede incluir una desconfianza explícita del intermedio B, en cuyo caso tampoco aceptará el certificado del cliente B.

    
respondido por el Steffen Ullrich 08.10.2016 - 06:40
fuente