ssltest: problemas de cadena: contiene el ancla

81

He ejecutado ssltest en la aplicación web y encontré "Problemas con la cadena - Contiene el ancla "(sección" Certificados adicionales (si se suministran) ")

¿Qué significa? ¿Debería ser arreglado? ¿Puede ser explotado?

    
pregunta Andrei Botalov 27.11.2012 - 09:58
fuente

2 respuestas

103

Cuando el servidor envía su certificado al cliente, en realidad envía una cadena de certificados para que al cliente le resulte más fácil validar el certificado del servidor (el cliente no es requerido para usar exactamente esa cadena, pero, en la práctica, la mayoría de los clientes usarán la cadena y ninguna otra). Esto se describe en el estándar SSL / TLS , sección 7.4.2, con, en particular, este extracto esclarecedor:

  

del remitente         El certificado DEBE estar primero en la lista. Cada siguiente         El certificado DEBE certificar directamente el que lo precede. Porque         la validación de certificados requiere que las claves raíz sean distribuidas         independientemente, el certificado autofirmado que especifica la raíz         La autoridad de certificación PUEDE ser omitida de la cadena, bajo el         supuesto de que el extremo remoto ya debe poseerlo para poder         Valídalo en cualquier caso.

Ya que es un caso "MAYO" (la terminología en RFC tiene un significado muy preciso explicado en RFC 2119 ), el servidor puede incluir el certificado raíz (también conocido como" ancla de confianza ") en la cadena u omitirlo. Algunos servidores lo incluyen, otros no. Una implementación de cliente típica, con la intención de utilizar exactamente la cadena que se envió, primero intentará encontrar los certificados de cadena en su almacén de confianza; si falla, intentará encontrar un emisor para el "último" certificado de cadena en su almacén de confianza. De cualquier manera, esto cumple con los estándares y debería funcionar.

(Existe una pequeña fuente de confusión con respecto al orden de la cadena. En X.509 , la cadena es pedido desde el ancla de confianza al certificado de la entidad final. El mensaje "Certificado" de SSL / TLS se codifica en orden inverso, el certificado de la entidad final, que califica al servidor en sí, primero. Aquí, estoy usando "el último" en SSL / Terminología TLS, no X.509.)

Lo único malo que se puede decir sobre el envío de la raíz en la cadena es que utiliza un poco de ancho de banda de red innecesariamente. Eso es aproximadamente 1 kB de datos por conexión que incluye un protocolo completo . En una sesión típica entre un cliente (navegador web) y un servidor, solo una conexión será de ese tipo; las otras conexiones del cliente utilizarán "protocolos abreviados" que se basan en el protocolo inicial y no usan certificados en absoluto. Y cada conexión se mantendrá activa para muchas solicitudes HTTP sucesivas. Por lo tanto, la sobrecarga de red que implica el envío de raíz es leve.

    
respondido por el Thomas Pornin 27.11.2012 - 13:03
fuente
24

Significa que los certificados que proporciona el sitio incluyen el certificado raíz de la cadena de certificados (la cadena donde un certificado está vinculado al certificado de su emisor, la raíz es un certificado que es su propio emisor).

Como un certificado solo es de confianza si el cliente confía explícitamente en el certificado de raíz (o en algún punto intermedio) de su cadena, no es necesario suministrar el certificado de raíz: si es de confianza, el cliente ya lo tiene. El informe, por cierto, indica que más abajo está el comentario "En el almacén de confianza".

No lo consideraría una razón para una advertencia, tal vez solo para una pista. ssltest también parece feliz teniendo en cuenta su calificación del 100% para el certificado.

Podría haber habido explotaciones al revés: sitios falsos que suministran certificados de raíz falsos que los clientes con errores cometen con los de confianza, lo que hace que el cliente confíe en el sitio. Sin embargo, los usuarios de dichos clientes están en problemas de todos modos.

    
respondido por el mkl 27.11.2012 - 10:35
fuente

Lea otras preguntas en las etiquetas