Se puede validar el certificado localmente [duplicado]

Navega tus respuestas
2

Cuando establezco TLS / SSL con algún servidor, me envía el certificado en el proceso. El certificado está firmado por una autoridad de certificación.

En mi PC / navegador tengo una lista de autoridades de certificación de confianza.

¿Envío el certificado a la autoridad o lo valido localmente (verificando la firma del certificado usando los datos almacenados en la lista de la autoridad de certificación)?

(nota: si es necesario, tome el navegador para el ejemplo de cliente TLS / SSL)

    
pregunta croraf 31.10.2018 - 21:22
fuente

2 respuestas

6

Los certificados son validados localmente. Sin embargo, el cliente puede ponerse en contacto con el repositorio de CA si falta parte de la información. Por ejemplo, si falta un certificado de CA intermedio en el almacén local y el servidor web no lo devolvió durante el intercambio, el cliente puede descargar el certificado faltante del repositorio de CA. Además, el cliente puede verificar la revocación del certificado contactando a la AC a través de OCSP o descargando una CRL desde el repositorio de la CA cuando no se almacena información actualizada sobre la revocación en el caché local.

Las validaciones de firmas y cadenas siempre se realizan localmente.

    
respondido por el Crypt32 31.10.2018 - 21:44
fuente
5

¿La verificación de la cadena de certificados requiere conectarse a servidores externos?

No necesariamente, si la cadena está completa desde una CA de confianza hasta el certificado de hoja (el certificado del sitio), entonces no se necesitan solicitudes. Cada certificado es de confianza o está firmado por un certificado superior en la cadena. Para example.com esto se vería así:

  • CA raíz (confía en que se instala en el navegador)
    • Intermedio A (de confianza, ya que está firmado por Root CA)
      • Intermedio B (de confianza, ya que está firmado por el Intermedio A)
        • certificado del sitio (de confianza, ya que está firmado por el Intermedio B)

¿La verificación de la revocación requiere conectarse a fuentes externas?

El uso de una CRL u OCSP normal requiere realizar una solicitud externa para verificar si el certificado se ha invalidado desde que se emitió, esto puede ser un problema de privacidad, ya que permite que un tercero (el que ejecuta el servicio de respuesta de OCSP) realice un seguimiento de los usuarios. .

Para solucionar este problema, se puede usar el grapado OCSP, donde el servidor solicita la respuesta OCSP y la devuelve mientras es válida para los clientes, antes de tener que obtener una respuesta nueva, lo que evita que las respuestas obsoletas se usen para siempre.

¿Qué sucede cuando la cadena está incompleta?

Si la cadena está incompleta, se puede usar un AIA Extention para señalar al emisor de un certificado, lo que permite al cliente reparar la brecha en la cadena, pero no se garantiza el soporte al cliente, por lo que es mejor presentar una cadena completa cuando sea posible.

    
respondido por el jrtapsell 31.10.2018 - 22:07
fuente

Lea otras preguntas en las etiquetas

asegurando cuadros desplegables Cómo implementar 2FA sin el teléfono del usuario