Al navegar por algunos sitios militares y gubernamentales de los EE. UU., noté que su conexión HTTPS dependía de los certificados de raíz del DoD. Como la mayoría de nosotros sabemos, los navegadores web están precargados con un conjunto predeterminado de autoridades de certificado raíz que, por lo general, no incluyen las Autoridades de Certificación de Aseguramiento Medio del DoD y Raíz Clase 3 en su lista de Raíz intermedia y de confianza CAs. Como resultado, los navegadores web no reconocen el DoD como la Autoridad de certificación y aparecen según las advertencias.
Como la mayoría de los sitios relacionados muestran y explican (por ejemplo, en enlace y / o enlace y / o enlace ) el (los) certificado (s) esperado (s) Se puede instalar manualmente o mediante una herramienta de instalación; pero eso, obviamente, espera que el usuario dedique tiempo y esfuerzo, al mismo tiempo que juega con cosas que yo personalmente no esperaría que un "usuario / cliente" tenga que jugar en primer lugar. Especialmente, ya que la descarga del certificado raíz (o el uso de los instaladores) parece estar abierta a varios vectores de ataque (MitM).
A primera vista, esto no parece ser muy diferente de crear su propio certificado raíz y obligar a sus usuarios a descargar e instalar sus certificados autofirmados para que puedan navegar en su sitio web (civil) de forma segura y sin molestias. advertencias. Normalmente, las personas que piensan en este sentido están tratando de ser "llamémoslas" baratas, pero dudo que esa sea una razón válida cuando hablamos de sitios militares de EE. UU. Supongo sin rodeos que el DoD no tiene problemas de dinero que les impidan comprar certificados de CA bien establecidas (como el resto de nosotros).
Esto me hace preguntarme ... ¿cuáles son las ventajas potenciales para una organización como el DoD que podría explicar por qué están usando sus propios certificados de raíz? O, mirándolo desde otro ángulo, ¿existen desventajas si una organización como el Departamento de Defensa de los EE. UU. Confíe en las CA de raíz "públicas" que se suelen conocer y utilizar?