¿Por qué Windows Windows sugiere / tiene certificados de CA intermedios completamente diferentes (y aparentemente válidos) para un certificado de hoja determinado?

Question

¿Por qué Windows Windows sugiere / tiene certificados de CA intermedios completamente diferentes (y aparentemente válidos) para un certificado de hoja determinado?

#1 de Steffen Ullrich (4 votos)

1

¿Es normal que múltiples certificados de CA intermedios tengan el mismo Subject Key Identifier ? ¿Por qué pasó esto? Siempre pensé que este era un atributo único.

He encontrado algunos casos extraños en los que la CA intermedia que Windows sugiere (bajo la sección Certification Path de Crypto Shell Extensions ) pertenece a una secuencia de cadena diferente a la que proporcionó la autoridad de certificación .

Por ejemplo, aquí hay dos intermedios de GoDaddy. "Emitido para:" es el mismo pero "Emitido por:" es diferente:

SirevisoelSubjectKeyIdentifierparaambos,sonlomismo:

Unopareceserunaraízperoelotroesunintermediario:

Windows está precargado con uno, pero el CA (GoDaddy en este caso) me dio el otro.

Entonces, ¿por qué existen y cuál es la diferencia entre ellas? Ninguno de los dos parece ser revocado y no agregué manualmente ninguno de estos certificados CA intermedios a mi almacén de confianza de Windows.

certificates

pregunta Mike B 08.01.2016 - 22:30

fuente

1 respuesta

Lea otras preguntas en las etiquetas certificates

Se compró una computadora usada con una tarjeta GSM que funciona [cerrada] Guardar la contraseña del nombre de usuario encriptado en la sesión

score 4 · Answer 1

A menudo encuentra certificados con el mismo asunto, clave pública e identificador de clave de sujeto, pero estos difieren generalmente en el algoritmo de firma o en el emisor. Dado que los detalles relevantes para la validación de la cadena son los mismos, cada uno de estos puede usarse para construir la cadena de confianza, lo que a menudo hace posible múltiples cadenas de confianza. La esperanza es que al menos una de estas cadenas de confianza pueda construirse para todos los clientes relevantes.

Dichos certificados "duplicados" suceden si un certificado se vuelve a firmar con un nuevo algoritmo de firma (es decir, pasar de SHA-1 a SHA-256). También se hace para las nuevas CA, como Let's Encrypt, que no están dentro del almacén de confianza de todos los sistemas operativos / navegadores cuando se inician. Por lo tanto, crean dos certificados similares: uno autofirmado para su inclusión en el almacén de confianza y otro firmado de forma cruzada por una CA ya confiable. Para ver un ejemplo de dicha firma cruzada, la descripción de los certificados utilizados por el cifrado .