¿Cuál es el propósito de CA-BUNDLE en un servidor web?

Question

¿Cuál es el propósito de CA-BUNDLE en un servidor web?

#1 de gowenfawr (2 votos)

1

Así que compro un certificado de DigiCert. El proceso es el siguiente:

Genere clave privada y CSR en el servidor web.
Enviar CSR a DigiCert.
Obtenga un certificado firmado de vuelta, así como su certificado raíz y su certificado intermedio (CA-BUNDLE).
Suba el certificado y CA-BUNDLE al servidor web a través de cPanel, Plesk, w \ e.

Mi pregunta es sencillamente, ¿cuál es el propósito de CA-BUNDLE?

Mi certificado es firmado por una CA intermedia de DigiCert que está firmada por la CA raíz de DigiCert. Todos los navegadores confían intrínsecamente en DigiCert (¿y asumo que es una CA intermedia?). El cifrado RSA real y el intercambio de claves AES se realizan utilizando los valores de mi certificado, de hecho, el servidor web no utiliza ninguno de los certificados del paquete de CA para nada.

Dicho esto, ¿qué sentido tiene? ¿Y por qué tengo que subirlo? Lo único que puedo ver es que si el cliente no tiene uno de los certificados intermedios instalados, ¿puede solicitarlo a mi servidor web (y verificarlo en la raíz DigiCert del navegador)?

public-key-infrastructure certificates certificate-authority

pregunta ola_991 18.02.2015 - 17:30

fuente

1 respuesta

Lea otras preguntas en las etiquetas public-key-infrastructure certificates certificate-authority

¿Es posible pasar por el proxy mientras PK Pinning está habilitado? Verificar la cadena de certificados pem usando openssl

score 2 · Accepted Answer

Todos los navegadores confían inherentemente en DigiCert

Suficientemente cierto.

(y supongo que es CA intermedia)

Los clientes pueden incluir certificados intermedios de confianza, pero no se puede esperar que . Es su trabajo, el servidor, proporcionar todos los certificados intermedios necesarios para validar su cadena de certificados hasta la raíz ( RFC 5246 7.4.2 ):

   certificate_list
      This is a sequence (chain) of certificates.  The sender's
      certificate MUST come first in the list.  Each following
      certificate MUST directly certify the one preceding it.  Because
      certificate validation requires that root keys be distributed
      independently, the self-signed certificate that specifies the root
      certificate authority MAY be omitted from the chain, under the
      assumption that the remote end must already possess it in order to
      validate it in any case.

¿Lo único que puedo ver es que si el cliente no tiene uno de los certificados intermedios instalados, puede solicitarlo a mi servidor web (y verificarlo en la raíz de DigiCert del navegador)?

Correcto. Esa es exactamente la razón.