¿Hay algún uso en una extensión AIA en un certificado emitido directamente por una CA raíz?

1

Si bien la mayoría de la documentación que he leído indica que no es necesario tener la extensión AIA en un certificado Root autofirmado (lo suficientemente lógico), no puedo encontrar nada que me indique que no debo hacerlo en los certificados emitidos. por la raíz. De hecho, la mayoría de los ejemplos que he encontrado tienen la CA raíz que emite certificados con una extensión AIA que apunta a la CA raíz.

RFC 5280 ofrece dos opciones posibles para el AIA:

  • la URL del certificado de la CA emisora.
  • la URL del respondedor de OCSP.

Por ahora, estoy ignorando OCSP y asumiendo que tenemos al menos una CA subordinada.

¿Cuál sería el punto de tener una entrada id-ad-caIssuers en la extensión AIA dentro de un certificado emitido por la CA raíz? Si un subordinado necesita verificar esto para encontrar la ruta a la CA raíz, esto implica que el subordinado no conoce el certificado de la CA raíz y, por lo tanto, no lo tiene en su colección de anclajes de confianza. Una URL a la CA raíz no cambiará las cosas, ¡todavía no confiará en ella!

¿Estoy en lo correcto o me he perdido algún punto? En este último caso, ¿existe una situación en la que esta extensión AIA sea necesaria en un certificado emitido por la CA raíz?

    
pregunta garethTheRed 26.04.2015 - 16:14
fuente

2 respuestas

3

Bueno, en teoría, nunca necesitarías necesitar el AIA.

Mandatos RFC 5280, que envía junto con cada certificado necesario. Y, opcionalmente, también puede enviar el certificado Root CA.

Y ese es el único certificado que es opcional.

Ahora no todos configuran sus servidores correctamente. Y aquí es donde entra AIA.

Si solo se envía el certificado de la entidad final, entonces el software cliente tendrá más trabajo por hacer. Y algún software cliente puede hacer una cosa llamada persecución AIA.

Buscará en los certificados que tiene y usará AIA para descargar certificados adicionales. Y si esto no conduce a una ruta utilizable dentro de 10 intentos o algo así, entonces la creación de la ruta falla.

Y crear una ruta significa: encontrar los certificados que conducen a una CA raíz confiable.

Si conduce a una CA raíz no confiable, tampoco puede confiar en el certificado hoja. De cualquier manera, llegará a una decisión sobre ese certificado de hoja. Y eso es lo que quieres.

Relacionado: InfoSec-SE: Pasos para averiguar si un certificado SSL es confiable

Editar 2015-04-28: AIA presenta una raíz. Tú decides sobre la confianza.
Con lo que puede ayudarlo la persecución de AIA es encontrar una (o muchas) CA raíz. Lo que hace no hacer es ayudarlo a decidir si esta CA vale su confianza.

Pero te conseguirá una CA raíz.

E incluso si obtienes una CA raíz en la que no confías, entonces sigue siendo útil, porque sabes que la respuesta es "No voy a confiar en eso". Y entonces no tienes que seguir buscando una respuesta.

Lectura adicional

respondido por el StackzOfZtuff 26.04.2015 - 19:26
fuente
2

Como señala, un AIA es útil para OCSP.

Para la validación de certificados sin procesar , agregar una URL que apunte a la raíz del certificado autofirmado es realmente inútil. Un certificado autofirmado de raíz solo se puede usar si ya lo tiene, porque su integridad y autenticidad no se pueden deducir de su firma. Si ya tiene el certificado, no es necesario descargarlo.

Sin embargo , hay algunos casos en los que la URL es útil, por ejemplo. como documentacion Básicamente, si un usuario de Windows hace doble clic en el certificado de la entidad final pero no instaló la raíz autofirmada, Windows lo descargará automáticamente y lo mostrará con una "X" roja, que al menos muestra el problema exacto. Si no hay una URL de AIA que apunte a ella, Windows se detendrá en la CA intermedia.

En una línea similar, la URL puede ayudar a un cliente SSL a construir una ruta completa. Cuando un servidor SSL solicita un certificado del cliente, envía la lista de nombres de CA raíz que utilizará para validar el certificado del cliente. El cliente no necesita confiar en su propio certificado (recuerde que su certificado es para otras personas, no para usted), pero la URL puede ayudar al cliente a darse cuenta de que su certificado realmente reside en una de las CA raíz en la que el servidor confía.

La URL puede admitir futuras evoluciones. En este momento, tiene su raíz, pero tal vez en algún momento en el futuro pueda llegar a un acuerdo con una CA raíz más grande que acepte emitir. un certificado CA intermedio para su raíz. En ese momento, los certificados emitidos por su raíz deben tener una URL que apunte a ese nuevo certificado de "CA intermedia", para ayudar en la creación de rutas (los clientes que confían en su raíz no lo necesitarán, pero ayudarán a los clientes que confían solo en la otra raíz más grande). Presionar una URL significativa en este momento garantiza que mantendrás esa tarjeta en tu juego.

    
respondido por el Tom Leek 28.05.2015 - 20:39
fuente

Lea otras preguntas en las etiquetas