¿Cuál es el propósito de enviar Firefox con certificados raíz vencidos?
Revisé y hay dos certificados caducados enumerados. De hecho, el sitio web de la compañía para el primer certificado caducado (A-Trust) indica que el nuevo debe importarse manualmente. ¿Por qué no se envía de inmediato con Firefox? ¿Por qué los certificados caducados aún se incluyen en Firefox?
Los anclajes de confianza, como los certificados raíz, solo son de confianza porque están incluidos en la confianza del sistema o del navegador. No hay validaciones adicionales como verificar la revocación o el vencimiento. Por lo tanto, no importa mucho si el certificado raíz ha caducado, pero solo son relevantes las fechas de caducidad de los certificados firmados directa o indirectamente por esta raíz.
Para la validación de la cadena de confianza, la clave pública dentro del certificado raíz es la parte más importante, ya que es necesaria para validar la firma del certificado emitido. A menudo, encontrará varias versiones del mismo certificado de CA que comparten la misma clave pública y el mismo tema pero que tienen diferentes fechas de caducidad, algoritmos de firma o emisores (es decir, algunos están autofirmados, otros están firmados por otra CA) Todos estos pueden usarse igualmente como un ancla de confianza porque comparten clave y tema, por lo que en realidad no importa que uno tenga la versión más nueva en el almacén de confianza.
Creo que probablemente haya una respuesta menos técnica a eso. Y más de una respuesta política de Mozilla.
Los almacenes Trust tienen ciertas reglas sobre cómo puede ingresar y salir de sus CA raíz.
Mozilla también tiene tales reglas . No los entiendo completamente.
Pero la idea general es que una vez que su raíz esté dentro del almacén de confianza de Mozilla, la forma habitual en que puede ser expulsado es mediante un proceso de dos pasos: primero, su raíz se deja en el almacén de confianza, pero se coloca en estado "obsoleto" . Y después de que su raíz haya estado en desuso, puede ser expulsado por completo.
Si, por otro lado, ya tiene una CA raíz en el almacén de confianza de Mozilla y solo quiere renovarla, entonces las reglas son ligeramente diferentes a las de las CA raíz. (No estoy seguro de esa parte). Tienen una sección especial en la wiki llamada Solicitudes de parte de Already Includeds o Listo para la discusión - y A-Trust se encuentra en la lista.
Y lo que creo es el caso aquí es que "A-Trust" tiene una raíz en la tienda de antes pero sus esfuerzos de renovación aún no han funcionado. Todavía están atrapados en ese proceso .
También: si bien las fechas de caducidad no pueden ser una razón técnica para la exclusión de un almacén de confianza, la caducidad de es sin duda una razón según Política de Mozilla .
Otra razón: las aplicaciones de Mozilla usan certificados para verificar las firmas digitales de las extensiones (u otras cosas que lance en NSSAPI). Las firmas deben seguir siendo verificables mucho después de que caduque el certificado de firma (y el certificado raíz del cual). La raíz debe conservarse para que se pueda acceder al CRL / OCSP.
Lea otras preguntas en las etiquetas certificates certificate-authority