¿Puedo modificar mi cadena de certificados?

Navega tus respuestas
2

Hace tiempo que tengo SSL / TLS ejecutándose en mi sitio. Para aprender un poco más sobre la PKI general, estudié la prueba SSL de Qualys y optimicé mi configuración (incluida la adopción del grapado OCSP).

Mi servidor web específico de elección es Nginx, y existe la opción ssl_trusted_certificate, que, si no me equivoco, permite validar una firma de respuesta de OCSP. Por lo que sé, esta es una cadena que va desde el certificado raíz de la CA, hasta el certificado intermedio final antes del certificado de "actuación" de su servidor (¡olvidé el nombre correcto para estos!).

En mi situación específica, estoy usando Gandi como proveedor de certificados. Conseguí dos caminos de certificación diferentes según la prueba. La raíz de USERTRUST (que emitió el certificado intermedio de Gandi) no parecía funcionar en algunos dispositivos (los teléfonos recientes, encontré una instancia de Android 4.4.4 que no tenía el certificado instalado), así que opté por la cadena más larga , con AddTrust en la raíz (que emitió un certificado de USERTRUST, que a su vez emitió el certificado de Gandi, y finalmente el de mi propio servidor).

Esto resolvió el problema. Sin embargo, me pregunto si se recomienda o no que esto se desvíe del paquete proporcionado por Gandi. Además, volviendo a OCSP, mi URI de OCSP resulta ser enlace .

Si solo estaba cambiando a ciegas ssl_trusted_certificate, pondría la raíz AddTrust, el intermediario USERTRUST y, por último, los certificados intermedios de Gandi en ese orden (no puedo encontrar ninguna documentación que indique el orden en el que lo necesito específicamente y los certificados que realmente necesito incluir).

Si mis respuestas de OCSP provienen de USERTRUST, ¿solo necesito la raíz de USERTRUST y el intermedio de Gandi?

Gracias por tomarse el tiempo para leer. :)

    
pregunta AlephBeth 17.03.2015 - 21:07
fuente

1 respuesta

2
  

(No puedo encontrar ninguna documentación que incluya el orden en el que lo necesito específicamente y los certificados que realmente necesito incluir).

RFC5246 es bastante claro al respecto: 

certificate_list
  This is a sequence (chain) of certificates.  The sender's
  certificate MUST come first in the list.  Each following
  certificate MUST directly certify the one preceding it.  Because
  certificate validation requires that root keys be distributed
  independently, the self-signed certificate that specifies the root
  certificate authority MAY be omitted from the chain, under the
  assumption that the remote end must already possess it in order to
  validate it in any case.
  

Sin embargo, me pregunto si se recomienda o no que esto se desvíe del paquete proporcionado por Gandi?

¿Por qué te gustaría desviarte de esto? Si Gandi es la entidad emisora de certificados que emitió su certificado, definitivamente debe utilizar su contestador OCSP. Cualquier respondedor de OCSP en la cadena no es responsable de ningún certificado emitido por Gandi. Después de todo, nadie (excepto Gandi) conoce la clave privada, que es necesaria para firmar las respuestas de OCSP con (y / o el certificado que se usa para firmar las respuestas de OCSP).

    
respondido por el Karol Babioch 18.03.2015 - 03:35
fuente

Lea otras preguntas en las etiquetas

nmap no se ejecuta como root muestra puertos abiertos desconocidos por una fracción de segundo ¿Es posible tener dos certificados SSL: un comodín y el otro subdominio para un solo dominio?