cadena de certificados autofirmados vs certificado único autofirmado

2

¿Tendré una conexión más segura / cifrada si tuviera una cadena de certificados autofirmados en lugar de utilizar solo un único certificado autofirmado?

[Root CA -> Intermediate 1 -> Intermediate 2 -> my.api.com]

vs

[Root CA -> my.api.com]

¿O eso no tiene ningún impacto en el cifrado?

    
pregunta Eltorrooo 13.02.2017 - 19:19
fuente

4 respuestas

1

Para la seguridad de la conexión, no importa si tiene certificados intermedios y cuántos. La fuerza del cifrado depende del cifrado utilizado en el intercambio de claves y el cifrado, que es en su mayoría independiente del certificado y completamente independiente de cualquier certificado de cadena. Los certificados se utilizan principalmente para la autenticación para evitar ataques de personas en el medio y todo lo que es relevante aquí es que el atacante no puede falsificar ninguno de los certificados involucrados, es decir, no tiene acceso a ninguna de las claves privadas y no puede engañar a una autoridad de certificados (o piratearlo) para que emita un certificado de confianza para el dominio específico.

    
respondido por el Steffen Ullrich 13.02.2017 - 19:35
fuente
1

No, no afecta el cifrado.

Una cadena de certificados autofirmados puede ayudar a que la conexión sea más segura, pero eso se debe a que facilita el manejo de certificados en su organización y, por lo tanto, es más probable que funcione correctamente sin que el navegador solicite la intervención del usuario, NO porque la fuerza Aumenta el cifrado.

Los certificados se utilizan para asegurarse de que la clave pública que recibe del servidor realmente pertenece al servidor, y no a una Malory, que se encuentra en un punto intermedio entre usted y el servidor.

Si usa solo un único certificado autofirmado, su navegador se quejará de que no se puede establecer la autenticación del certificado. Recibirá exactamente el mismo mensaje de advertencia cuando Malory reemplace su certificado por el suyo, por lo que si usa certificados autofirmados, no podrá distinguir fácilmente entre la operación normal y un ataque mitm.

Puede agregar su certificado privado al navegador o al almacén de certificados para que el navegador lo acepte, pero administrar la renovación de certificados, el reemplazo, etc. es un problema si lo hace así en contextos donde solo tiene diez o veinte máquinas. para apoyar.

Por lo tanto, una solución que requiere menos esfuerzo es agregar un certificado raíz privado, que deberá tocar con mucha menos frecuencia. El manejo de certificados se hace más fácil, lo que significa que se puede hacer con menos esfuerzo, lo que significa que es más probable que se realice correctamente, o que lo haga, lo que significa que es menos probable que los usuarios vean las advertencias del navegador para los certificados que no son de confianza. Así que de una manera indirecta, yo diría que hay ventajas de seguridad en el uso de una cadena de certificados autofirmados en un contexto en el que es responsable del mantenimiento de una serie de máquinas que necesitan acceso a su recurso.

Por supuesto, si alguien tiene acceso a su autoridad de certificación privada, acaba de darles un acceso potencial a todas las conexiones cifradas con SSL que hacen sus usuarios, por lo que también hay graves desventajas.

En general, sin embargo, realmente no hay ninguna razón por la que deba autofirmar certificados, a menos que tenga problemas de confianza con las autoridades de certificación predeterminadas. Lets Encrypt le brinda certificados gratuitos que funcionan en todos los navegadores, listos para usar.

    
respondido por el Pascal 13.02.2017 - 22:00
fuente
0

No, no es "más seguro" y no tiene ningún impacto en el cifrado en sí.

Un certificado intermedio simplemente dice que el firmante de certificado intermedio 1 confía en su certificado my.api.com. Un cliente debería confiar en toda la cadena de certificados antes de permitir que la conexión continúe.

    
respondido por el RoraΖ 13.02.2017 - 19:23
fuente
0

No se trata tanto de la seguridad del cifrado, sino de lo que sucede una vez que se compromete la firma CA. La CA raíz puede revocar la CA intermedia y crear una nueva, sin verse afectada. Validar la huella digital de la CA raíz tiene mucho sentido en ese escenario, porque la comprobación de revocación de certificados en línea es débil en general.

    
respondido por el bbaassssiiee 13.12.2017 - 22:42
fuente

Lea otras preguntas en las etiquetas