Para certificados SSL, ¿se requiere algún tipo de conexión a la CA emisora (u otro recurso de red) para que se establezca la conexión SSL?

1

Estaba leyendo un artículo en creando una autoridad de certificación , y se me ocurrió esta pregunta cuando llegué a la sección titulada "Distribuir sus certificados y CRL".

Fondo:

  1. Estoy implementando una aplicación en una red privada, pero aún necesito usar SSL para algunos de los mecanismos de autenticación. Estaba pensando que un certificado SSL de una CA estándar no funcionaría, ya que no hay acceso externo desde dentro de la red y, por lo tanto, no hay manera de verificar el certificado de alguna manera (si la verificación ocurre).
  2. Los clientes del servicio estarían conectando una variedad de formas ... navegadores, java, .Net, etc ... No me gustaría degradar la utilidad de SSL por desactivando las características , pero lo mantendré como una opción.
  3. Si se produce la verificación, creo que necesitaré implementar mi propia autoridad de certificación (me doy cuenta de que esto implicaría distribuir un certificado raíz a todos los clientes, no es lo ideal, pero debería ser aceptable), pero puedo ' Parece que no se encuentra información sobre un "proveedor de verificación".
pregunta Daniel Bower 20.09.2012 - 03:23
fuente

1 respuesta

1

Cuando se produce una conexión SSL, el cliente debe asegurarse de que está hablando con el servidor correcto. Esto implica validar el certificado del servidor con respecto a un conjunto de anclajes de confianza conocidos (también conocidos como "certificados raíz"), y también verificar el estado de revocación de dichos certificados (el servidor certificado, y cada certificado de CA intermedio necesario entre una raíz y el certificado del servidor). Revocación es la forma en que una CA dice "Caramba, mi error, ignora ese certificado si lo ves, incluso si tiene una firma aparentemente correcta". El estado de revocación se obtiene mediante la descarga de una CRL de la CA, donde las CRL son objetos firmados que se actualizan regularmente y son emitidos por la CA (generalmente una vez al día).

(Alternativamente, el estado de revocación se puede obtener con OCSP, que no cambia la imagen de manera sustancial).

Por lo tanto, revocation status check normalmente implica algún tipo de conexión con la CA emisora (posiblemente una conexión intermitente o un impulso regular activo de la CA). En algunas configuraciones, podría hacer sin revocación; esto es equivalente a declarar que la clave privada del servidor nunca será robada.

Si el servidor solicita un certificado del cliente, también se produce el escenario reflejado.

    
respondido por el Thomas Pornin 20.09.2012 - 03:47
fuente

Lea otras preguntas en las etiquetas