¿Se debe confiar en todos los certificados ssl para un dominio?

1

He leído que es posible tener varios certificados en un dominio. Mi pregunta es si todos estos certificados deberían ser confiables y válidos o si un certificado válido de confianza es suficiente para que los navegadores confíen en él.

El contexto es que tengo un servidor de chat WebSocket que proporciona un certificado de confianza de Let's Encrypt a través de un proxy. Sin embargo, este servidor también proporciona un certificado administrado internamente para identificar que es parte de una red confiable. Este segundo certificado no tiene sentido para los navegadores, pero es necesario para conectar otros servidores de chat para crear una red porque la red confía en la red raíz y no confía en los nombres de dominio sino en las identidades.

En esencia, los navegadores aceptarían el servidor ya que el certificado de Let's Encrypt es válido, aunque el segundo certificado no sea de confianza (ya que la raíz ca no es parte del almacén de confianza estándar).

    
pregunta dsonck92 13.04.2018 - 14:35
fuente

1 respuesta

1

Solo se transfiere un único certificado de sitio durante un protocolo de enlace TLS (es decir, al configurar la conexión HTTPS). Este certificado debe ser confiable por el navegador, es decir, ser válido, no caducado, firmado por una CA de confianza y coincidir con el dominio de la URL. Para esta conexión y cliente específicos, no importa qué tipo de certificados pueda proporcionar el mismo servidor a otros clientes.

Otros clientes probablemente tendrán requisitos similares (al menos deberían). Pero pueden tener un conjunto diferente de CA de confianza para que puedan aceptar un certificado emitido por una CA interna, ya que confían en esta CA interna. O podrían confiar en un certificado autofirmado específico.

    
respondido por el Steffen Ullrich 13.04.2018 - 14:51
fuente

Lea otras preguntas en las etiquetas