¿Dónde puedo encontrar todos los certificados CA de SSL?

3

Estoy trabajando en un proyecto de implementación de SSL y, por supuesto, necesito verificar el certificado presentado por el servidor. Para hacer eso, necesito certificados de CA o, al menos, certificados de CA raíz (corríjame, estoy equivocado), pero parece que no puedo encontrar ninguna fuente que pueda proporcionarme una base de datos de certificados. ¿Dónde puedo encontrar todos estos certificados, preferiblemente de una sola fuente? Sé que puedo obtener certificados de todas las CA por separado, pero no me siento cómodo con ese método, ya que haría que el proceso de actualización fuera un desastre. Lo más cercano que pude encontrar fue este archivo de mozilla enlace . ¿Es esta la fuente correcta para la base de datos de certificados? En caso afirmativo, con qué frecuencia se actualiza.

    
pregunta binW 25.09.2013 - 18:36
fuente

3 respuestas

1

Parece que no hay una sola fuente para obtener todas las claves. Pero teniendo en cuenta sus requisitos, comenzar con una base de datos de certificados creíble del navegador podría ser una buena manera de acercarse. El enlace que mencionaste parece ser una buena fuente. Este script de perl puede descargar los certificados del sitio y convertirlos de txt a formato PEM.

    
respondido por el Jor-el 25.09.2013 - 19:11
fuente
0

Esto no es una muy buena idea. La recopilación de todas las claves públicas de CA de una sola fuente presenta algunos problemas.

  1. No necesariamente quieres confiar en todas las CA. Si confía en la clave pública de todas las CA, cualquier persona que firme algo por medio de cualquier "CA" aparecerá como válida. Podría firmar un certificado que indique que mi servidor web era en realidad gmail, por ejemplo.

  2. Obtener la clave pública de todas las CA de un tercero permitiría a ese tercero cambiar las claves públicas y luego firmar certificados utilizando el nombre de una política realmente confiable. Existen cosas como estas para las claves públicas personales (correo electrónico, etc.) porque se supone que debe verificar la clave con la persona con la que desea comunicarse. No estoy al tanto de que esta infraestructura exista, pero incluso si así fuera, necesitaría verificar las claves con cada CA individual, que es exactamente lo que dice que no quiere hacer.

respondido por el skerp 25.09.2013 - 18:47
fuente
0

La lista de certificados raíz de CA que acepta su implementación TLS es crucial para la seguridad de los usuarios de su implementación. Todo lo que se necesita es un mal actor o un front-for-NSA en esa lista para permitir el compromiso de todas las conexiones de sus usuarios.

Si bien la lista de mozilla es un lugar para comenzar, lo mejor que podría hacer por sus usuarios sería examinar a todas las CA cuyas certificados raíz acepta su implementación.

    
respondido por el Brock Hansen 25.09.2013 - 19:02
fuente

Lea otras preguntas en las etiquetas