No confíe en todos los certificados intermedios

Question

No confíe en todos los certificados intermedios

#1 de Reid Rankin (6 votos)

2

Tengo un almacén de confianza que contiene la cadena de certificados SSL hasta el certificado de CA raíz:

Raíz CA - > CA intermedia - certificado SSL

Según lo que vi como una práctica recomendada, solo el certificado de CA raíz se debe agregar al almacén de confianza porque el servidor SSL debería enviar el certificado SSL junto con su certificado de CA intermedia, y por lo tanto podemos verificar toda la cadena.

Pero, ¿qué pasa con la situación en la que me gustaría confiar solo en una CA intermedia particular que emitió el certificado SSL y no en otra?

La parte administradora de la CA raíz puede emitir otra CA2 intermedia en la que mi aplicación también confiaría. ¿Cómo evitar tal situación?

Incluir el certificado de CA intermedia en el almacén de confianza no soluciona eso, porque el certificado de CA2 intermedio todavía sería confiable.

certificates certificate-authority trust

pregunta user1563721 14.07.2016 - 20:46

fuente

1 respuesta

Lea otras preguntas en las etiquetas certificates certificate-authority trust

Cifrar datos, aún siendo capaz de hacer una búsqueda de texto (teóricamente) interceptando la vulnerabilidad del teléfono inteligente de GCHQ

score 6 · Accepted Answer

Su almacén de confianza debe contener los certificados en los que confía. Si confía en una única CA intermedia y no en su raíz, debe incluir el certificado de la CA intermedia y no la raíz.

Una vez que se pueda crear una cadena de confianza para un certificado en su almacén de confianza, no importa si ese certificado fue emitido por otra CA o no.