¿Qué ventaja obtendría alguien al instalar mi certificado raíz?

Navega tus respuestas
2

La respuesta a esto es probablemente simple, pero me elude.

Este es el escenario: en este momento, tengo un servidor con un certificado emitido para usar HTTPS al que un cliente POST responde después de procesar las solicitudes enviadas desde un servicio web. El servidor del cliente tiene su propio certificado emitido y también utiliza HTTPS. Ninguno de los certificados es un certificado comodín.

Como parte de la configuración original, el cliente solicitó que mi servidor tuviera un certificado (como era de esperar). Ahora, el cliente tiene un requisito adicional como parte de una actualización reciente. Quieren que mi certificado raíz esté instalado en su servidor.

Como mencioné anteriormente, mi servidor ya tiene un certificado válido, sin comodines. Cuando su servidor realiza la POST, el servidor ya ve ese certificado válido, y cuando mi servidor habla con su servidor, veo su certificado. Entonces, ¿qué ganaría mi cliente de esto?

Editar: para aclarar, mi certificado está firmado por una CA de terceros.

    
pregunta badger2013 15.04.2016 - 20:51
fuente

2 respuestas

2

En este certificado suyo, es importante saber si lo firmó con el certificado raíz de su propia empresa; ¿O tienes un tercero que lo firma?

Si está firmado por su certificado raíz privado, no tendrán una copia, por lo que no tienen forma de validar que las conexiones con usted son legítimas. Si les da una copia, tendrán una forma de validar el certificado de su servidor y sabrán que no están siendo engañados.

Si su certificado está firmado por Thawte, Comodo, Entrust o una de las otras Autoridades de Certificación comerciales, entonces no tendrían necesidad, ya que esos certificados raíz ya son públicos e instalados en sus máquinas. Ese es el propósito que sirven en la web.

Sería una buena práctica tener cualquier certificado que intente compartir con un tercero para que lo firme un servicio comercial. De esa manera, no tendrían que instalar el certificado raíz de su empresa.

-

Normalmente, no querrá instalar el certificado raíz autofirmado de otra compañía como certificado raíz en su caja, ya que hay un conjunto de confianza implícito muy poderoso en el certificado. Con ese certificado, los servidores creerán cualquier conexión firmada por él. Usted podría falsificar y firmar un certificado para www.google.com o www.fbi.gov, y confiarían implícitamente en cualquier conexión con ellos.

    
respondido por el John Deters 15.04.2016 - 22:48
fuente
2

La instalación de certificados raíz en un servidor hace que ese servidor confíe implícitamente en cualquier certificado futuro firmado por esa raíz. Al instalar ese certificado raíz, podría utilizar certificados autogenerados que estén firmados como la raíz que se instaló.

Esto agrega un nivel de seguridad en el sentido de que su raíz no se distribuye para que la usen otros servidores / instancias, y no sería necesario reemplazarla si se comprometiera alguna de las firmadas por ella; simplemente puede revocar el comprometido y emitir uno nuevo firmado por su raíz.

    
respondido por el Bryan Agee 15.04.2016 - 21:17
fuente

Lea otras preguntas en las etiquetas

XSS entre etiquetas cuando están solo y están codificadas? [duplicar] Cómo identificar contenido codificado en una página de phishing [cerrado]