Comportamiento al validar una cadena de certificados caducados

Navega tus respuestas
1

Tengo la siguiente situación:

  • Un certificado de servidor ( CServ ) está firmado por un certificado autofirmado ( C0 )
  • Un certificado de cliente ( CCli ) está firmado por CServ
  • El almacén de confianza del cliente contiene C0 , por lo que la aplicación cliente puede confiar en CServ

Nota : C0 es en realidad una simulación de un certificado de CA para fines de prueba.

Ahora, consideremos una situación en la que C0 está vencido o aún no es válido. Dado que está almacenado en el almacén de confianza del cliente, ¿sigue siendo confiable? En otras palabras, ¿la cadena [ C0 , CServ ] sigue siendo válida?

    
pregunta Andrey Atapin 14.01.2013 - 05:25
fuente

1 respuesta

3

El almacén de confianza parece contener certificados, pero eso es una ilusión (o una tradición). Técnicamente, un ancla de confianza , es decir, la base de la confianza en la validación de certificados, es un nombre junto con una clave pública . Sucede que a las personas les pareció conveniente almacenar el nombre y la clave pública como un archivo con el mismo formato que un certificado; esto requirió algunos engaños, como la "autofirma", que no tiene sentido pero tuvo que incluirse porque el formato para un certificado incluye un campo no opcional para una firma.

En ese momento, realmente depende de las convenciones internas del sistema operativo / navegador. Algunas implementaciones verán las "fechas de validez" en el "certificado" del ancla de confianza y las usarán como fechas de validez (es decir, más allá del final de la fecha de validez, dejarán de confiar en esa confianza). ancla, incluso si todavía está "allí", en el almacén dedicado para anclas de confianza). Algunas otras implementaciones ignorarán estas fechas por completo. Realmente depende de cada implementación hacer estas elecciones, ya que el estándar no dice nada sobre el tema.

Así que tienes que probar.

    
respondido por el Thomas Pornin 14.01.2013 - 12:30
fuente

Lea otras preguntas en las etiquetas

¿Cómo detecta Wireshark el tráfico de mensajería en línea? Configuración de la aplicación web ASP.NET en Internet por primera vez; ¿Son estas medidas de seguridad suficientes?