Me han pedido que me conecte a un sitio seguro de una agencia gubernamental que utiliza certificados de cliente para autenticar a sus clientes. Recibí por correo electrónico un certificado de cliente cifrado como un archivo PKCS # 12 y por otros medios la contraseña para el archivo.
El hecho interesante es que el archivo PKCS12 también contiene una autoridad de certificado raíz para esa agencia gubernamental; cuando tú Instale el certificado en Firefox, también confiará en la CA raíz asociada. Cuando instale en Windows, le pedirá que instale y confíe en el CA raíz asociada.
El sitio de gobierno usa TLS con un certificado generado por esa CA raíz particular, así que creo que esta es la razón por la que se incluyó en primer lugar.
Pero ... desde el punto de vista del cliente, confiar en esta nueva CA raíz es un problema de seguridad real.
Supongo que este sitio podría haber sido creado de una manera diferente que no implicaría plantar una nueva CA raíz en sus clientes (es decir, Use el certificado de cliente usando una CA autofirmada mientras usa el certificado web de una CA de confianza pública )
¿Esta agencia gubernamental está tratando de ser maliciosa con su CA raíz, o es solo una solución rentable y aceptable?
nb: Existe una buena documentación para TLS en la web, pero no sobre la implementación de certificados de clientes. No podría encontrar fácilmente las mejores prácticas documentadas para implementar una "plataforma" de este tipo mediante la autenticación de certificado de cliente.