¿Qué sucede cuando los certificados intermedios se instalan en el orden incorrecto?

3

Me he dado cuenta de que los certificados intermedios en un servicio web se instalan en el orden incorrecto. ¿Qué efectos puedo esperar de esto?

Utilicé el comprobador de certificados de Symantec , que decía:

  

Certificados instalados en el orden incorrecto.

     

Algunos certificados en la cadena se instalan en el orden incorrecto. Vea los detalles abajo.   Vuelva a instalar los certificados en el orden correcto.

  1. ¿Esto daría lugar a que se rechacen los protocolos SSL?
  2. Si no se rechazan, ¿resultará en que las solicitudes / respuestas se cifren incorrectamente?
pregunta Edd 28.04.2014 - 17:52
fuente

1 respuesta

2

Según el estándar SSL / TLS :

  This is a sequence (chain) of certificates.  The sender's
  certificate MUST come first in the list.  Each following
  certificate MUST directly certify the one preceding it.

Lo que puede suceder depende del cliente: algunos simplemente ignorarán la cadena y simplemente revalidarán el certificado del servidor, utilizando el certificado provisto como una bolsa no ordenada de "certificados potencialmente útiles". Otros rechazarán la cadena y se negarán a conectarse. Un caso secundario es cuando los certificados están tan desordenados que el primer certificado de la cadena no es el certificado real del servidor: en ese caso, los clientes que no rechazaron la cadena tratarán de usar el certificado incorrecto, y esto debería activar una advertencia de "falta de coincidencia de nombre" (es decir, el cliente está tratando de usar el certificado de una CA intermedia y el nombre de la CA no coincide con el nombre del servidor esperado); y, en última instancia, daría lugar a una falla de reconocimiento ya que la clave pública de CA no es la clave pública del servidor.

En cualquier caso, el protocolo de enlace SSL termina con un par de mensajes Finished que se utilizan para verificar que todo haya ido bien. Si el cliente no usa la clave pública correcta, el intercambio de claves fallará o (en el peor de los casos) los mensajes Finished no coincidirán, y no se enviarán ni recibirán datos de la aplicación. No habrá ninguna "solicitud / respuesta cifrada incorrectamente".

    
respondido por el Tom Leek 28.04.2014 - 18:42
fuente

Lea otras preguntas en las etiquetas