Cadena de confianza incompleta y orden de cifrado del servidor no establecida

  

Lo que no está claro para mí es la seguridad, entonces, ¿qué amenaza representa una cadena de confianza incompleta?

Muchos navegadores evitarán este tipo de cadena de confianza incompleta, es decir, completarán el certificado intermedio faltante de otras fuentes. Por lo general, esto se hace utilizando certificados almacenados en caché localmente o utilizando la parte CA Issuers de la extensión Authority Information Access en el certificado para descargar el certificado de CA faltante.

Pero, aparte de los navegadores de escritorio, estas soluciones no suelen realizarse. Esto significa que las aplicaciones móviles, los navegadores móviles o las aplicaciones de escritorio independientes o los scripts no podrán validar el certificado, lo que generalmente provoca que no se pueda acceder al sitio. En este caso solo sería un problema de disponibilidad. Algunos desarrolladores, sin embargo, luego "solucionan" el problema simplemente desactivando la validación de certificados, en cuyo caso el problema de disponibilidad se convierte en un problema de seguridad, ya que ahora se aceptan certificados arbitrarios para el sitio y los ataques MITM no se detectan.

  

El orden de cifrado del servidor no está establecido

Mi conjetura es que significa que el servidor se apegará a las preferencias de cifrado de los clientes en lugar de tener su propia preferencia sobre qué cifrado es mejor. Mientras el servidor solo admita cifrados seguros, esto no es un problema, ya que el cifrado final seguirá siendo seguro. De hecho, puede estar perfectamente bien adherirse a las preferencias de los clientes. Un ejemplo es cuando el cliente no tiene implementación de AES respaldada por hardware y, por lo tanto, puede preferir sistemas de cifrado que utilizan ChaCha20 que tienen implementaciones eficientes de software. El servidor puede aceptar esta preferencia para tomar la carga del cliente; consulte este blog de Cloudflare para más .