error de número de serie de openssl "SEC_ERROR_REUSED_ISSUER_AND_SERIAL"

1

He estado experimentando un poco con certificados auto emitidos.

Configuré una autoridad de certificación, emití un certificado y lo instalé en un servidor web. Más tarde borré ese certificado sin molestarme en revocarlo, y disminuí el número en el archivo serial.txt que openssl estaba usando. (No había una buena razón para hacerlo, pero parecía inofensivo).

Después de eso, usé la autoridad de certificación para volver a emitir un nuevo certificado. Cuando instalo ese certificado en el servidor web y accedo a él, Firefox me muestra un error:

  

Su certificado contiene el mismo número de serie que otro certificado emitido por la autoridad de certificación. Obtenga un nuevo certificado que contenga un número de serie único. Código de error: SEC_ERROR_REUSED_ISSUER_AND_SERIAL

Supongo que recibo este error debido al hecho de que disminuí el archivo serial.txt , por lo que el certificado recién emitido tenía el mismo número de serie que una encarnación anterior.

Mis preguntas son:

  • ¿Cómo sabe esto mi navegador? ¿Mantiene una base de datos en algún lugar de CA / números de serie que haya visto antes?
  • ¿Por qué le importa? ¿Qué riesgo de seguridad conllevaría si mi navegador simplemente ignorara el número de serie duplicado?
pregunta SauceCode 02.11.2016 - 18:10
fuente

1 respuesta

3
  

¿Cómo mi navegador sabe esto?

Firefox parece almacenar en la memoria caché información sobre los certificados que se usaron, al menos hasta que reinicies el navegador. Si ha agregado una excepción porque está usando su propia CA (tal vez no confiable), es posible que incluso tenga la información en la tienda de CA.

  

¿Qué riesgo de seguridad conllevaría si mi navegador simplemente ignorara el número de serie duplicado?

La información de revocación de un certificado emitido por una CA específica se verifica mediante el número de serie solo en CRL y OCSP. Por lo tanto, reutilizar el mismo número de serie significaría que se aplicará la misma información de revocación.

    
respondido por el Steffen Ullrich 02.11.2016 - 18:18
fuente

Lea otras preguntas en las etiquetas