Descifrado SSL ¿por qué se requiere el certificado de CA raíz en los clientes?

Question

Descifrado SSL ¿por qué se requiere el certificado de CA raíz en los clientes?

#1 de sebastian nielsen (2 votos)

2

Tal vez una pregunta rápida. Tenemos Palo Alto que realizan el descifrado SSL utilizando un certificado de CA secundario emitido por nuestra CA raíz interna. Esto funciona para nuestras computadoras de dominio de Windows internas, ya que la CA raíz y la CA secundaria se transfieren a todas a través de la Política de grupo. Mi pregunta es que tenemos algunos usuarios de Mac con los que GPO no funciona, por lo que necesitarán agregar los certificados manualmente.

Mi pregunta es si el subCA instalado en Palo Alto (haciendo la generación dinámica de SSL para sitios), también está instalado en estos Mac. ¿Por qué los usuarios siguen recibiendo una conexión no confiable detectada en su navegador? Se queja de que "este certificado no se puede verificar hasta una autoridad de certificación confiable".

Si instalo el certificado de CA raíz además, ya no reciben errores. ¡Hurra!

Sin embargo, mi pregunta es por qué los clientes necesitan la CA raíz si la CA secundaria (en Palo Alto) fue la que generó el certificado explícito (como bankofamerica.com, etc.).

tls proxy decryption

pregunta Jim 14.05.2015 - 17:35

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls proxy decryption

Obstáculo en la implementación de un software de tiempo limitado / número de uso limitado Validación de certificado TLS fácil de usar

score 2 · Answer 1

El motivo es que la mayoría de los almacenes de certificados solo tratan los certificados de CA firmados como certificados raíz. Los certificados SubCA en la mayoría de los casos se agregarán a una tienda llamada "emisores de certificados intermedios". Esta tienda no agrega ninguna confianza al certificado, solo como una conveniencia para la computadora en caso de que el servidor solo envíe su propio certificado, no el certificado intermedio que vincula a la raíz.

(algunos servidores mal configurados pueden enviar solo el cert (A) de (A) - (B) - (C). Si el (C) está en el almacén raíz, la computadora no podrá completar la cadena y se quejará de (A) no es confiable. Por lo tanto (B) se agrega a la tienda intermedia, que no es confiable, pero agrega el enlace entre (A) y (C), lo que hace que (A) sea confiable. La razón es insegura para confiar (B) automáticamente, es que (C) puede ser revocado y cualquier certificado vinculado también debe revocarse)

Todos los certificados en los "emisores de certificados intermedios" deben encadenarse a un certificado dentro del almacén raíz de confianza para que sean confiables.

Pero en la mayoría de los almacenes de certificados, debería ser posible inyectar manualmente un certificado en el almacén raíz, incluso si no está firmado por sí mismo. A veces, debe marcar una casilla de verificación que desea instalar el certificado de forma manual, a veces necesita vagar manualmente en las tiendas y agregar el certificado con un botón