He estado experimentando un poco con certificados auto emitidos.
Configuré una autoridad de certificación, emití un certificado y lo instalé en un servidor web.
Más tarde borré ese certificado sin molestarme en revocarlo, y disminuí el número en el archivo serial.txt
que openssl estaba usando. (No había una buena razón para hacerlo, pero parecía inofensivo).
Después de eso, usé la autoridad de certificación para volver a emitir un nuevo certificado. Cuando instalo ese certificado en el servidor web y accedo a él, Firefox me muestra un error:
Su certificado contiene el mismo número de serie que otro certificado emitido por la autoridad de certificación. Obtenga un nuevo certificado que contenga un número de serie único. Código de error: SEC_ERROR_REUSED_ISSUER_AND_SERIAL
Supongo que recibo este error debido al hecho de que disminuí el archivo serial.txt
, por lo que el certificado recién emitido tenía el mismo número de serie que una encarnación anterior.
Mis preguntas son:
- ¿Cómo sabe esto mi navegador? ¿Mantiene una base de datos en algún lugar de CA / números de serie que haya visto antes?
- ¿Por qué le importa? ¿Qué riesgo de seguridad conllevaría si mi navegador simplemente ignorara el número de serie duplicado?