¿Cuál es la diferencia entre un certificado raíz autofirmado y una autoridad de certificado raíz?

1

Estos términos provienen del Keychain Access utillity en macOS High Sierra.

La Autoridad de certificados raíz contiene información sobre el país, la ubicación, la dirección de correo electrónico, etc. del origen, mientras que la segunda contiene un número de serie y una versión en la información del sujeto y del emisor.

¿Son estas las mismas cosas? ¿Puede haber certificados raíz que no estén autofirmados? Pensé que "Certificado raíz autofirmado" sería una tautología.

    
pregunta hgiesel 31.08.2017 - 18:28
fuente

3 respuestas

2
  

La autoridad de certificación raíz contiene información sobre el país, la ubicación, la dirección de correo electrónico, etc. del origen, mientras que la segunda contiene un número de serie y una versión en la información del sujeto y del emisor. ¿Son estas las mismas cosas?

No, las propiedades que usted enumeró no son las mismas. Un certificado debe tener un Asunto y Emisor y, además, puede contener un País , Ubicación y Correo electrónico -dirección , etc. Lo que se incluye en un certificado depende de su tipo y lo que el propietario quiere en él.

  

¿Puede haber certificados raíz que no estén autofirmados? Pensé que "Certificado raíz autofirmado" sería una tautología.

Echemos un vistazo.

Un certificado autofirmado es solo eso. Un certificado firmado por la clave privada, que es el par de la clave pública incrustada en el certificado. Cuando se crea una cadena de confianza, este tipo de certificado solo puede aparecer en la raíz de la cadena, ya que no puede tener nada después (ya que está firmado por sí mismo). Aquí viene el giro. La creación de la cadena de confianza se detendrá cuando se encuentre un certificado de raíz de confianza . Esto es de confianza. La raíz siempre es autofirmada.

Sin embargo, existe un caso especial cuando una CA que ingresa recientemente en el campo publica su certificado "raíz" que no es autofirmado, pero está certificado por una CA bien establecida, lo que lo convierte en un certificado intermedio em>. Esto permite a la nueva CA iniciar las operaciones antes de que su certificado de raíz real se distribuya a los navegadores y almacenes de confianza del sistema operativo. Un gran ejemplo de esto es Vamos a cifrar los certificados raíz . Están certificados por IdenTrust.

Para resumir, sí, los certificados autofirmados son, por definición, certificados raíz, por lo que es una tautología.

    
respondido por el Daniel Szpisjak 31.08.2017 - 23:16
fuente
1

Su pregunta parece modificarse a medida que se lee de un tema a otro. Comienza con:

  

¿Cuál es la diferencia entre un certificado raíz autofirmado y una autoridad de certificado raíz?

El certificado raíz autofirmado es el certificado que publica la autoridad de certificados raíz y se puede utilizar para verificar los certificados de "cliente" emitidos por la autoridad de certificados.

Termina con:

  

¿Puede haber certificados raíz que no estén autofirmados?

La naturaleza de los certificados raíz es que están al 'final de la cadena', por lo que, implícitamente, solo pueden ser autofirmados.

En el medio se vuelve un poco confuso, asumo en lo siguiente:

  

La Autoridad de certificados raíz contiene información sobre el país, la ubicación, la dirección de correo electrónico, etc. del origen, mientras que la segunda contiene un número de serie y una versión en la información del sujeto y del emisor.

Si se refiere a las secciones Subject Name y Issuer Name de un certificado raíz cuando se muestra usando Keychain Access, entonces sí, los detalles serán los mismos porque es un certificado raíz (autofirmado).

    
respondido por el R15 31.08.2017 - 20:28
fuente
0

Se trata de terminología. Las cadenas de certificados representan la estructura de datos del gráfico de árbol. La estructura de árbol siempre tiene un vértice / nodo especial sin bordes entrantes (solo hay bordes salientes) llamado raíz. Esto es lo que significa en las cadenas de certificados: el certificado raíz es el certificado más importante sin ningún padre. Dado que, no hay padre (no firmantes) para una raíz, es autofirmado. Por lo tanto, "raíz autofirmada" es una tautología.

    
respondido por el Crypt32 31.08.2017 - 19:28
fuente

Lea otras preguntas en las etiquetas