¿Qué sucede cuando los certificados más arriba en la cadena caducan antes que los míos? (Equifax / GeoTrust)

Question

¿Qué sucede cuando los certificados más arriba en la cadena caducan antes que los míos? (Equifax / GeoTrust)

#1 de dave_thompson_085 (5 votos)
#2 de RedPixel (1 votos)

11

Acabo de comprar un certificado de RapidSSL. Buscando en la cadena, encontré a GeoTrust que está firmado por Equifax.

Luego me di cuenta de que la "Autoridad de Certificación Segura de Equifax" expirará el 2018-08-22 a las 16:42 GMT. Mientras mi certificado expira el 2018-09-01 a las 01:32 GMT. GeoTrust expirará el 2022-05-21 a las 6:00. Dando a mi nuevo certificado una vida más larga que un certificado más arriba en la cadena.

¿Qué sucederá en los últimos ocho días de mi certificado? ¿Ya no será válido porque la cadena se romperá?

Encontré esto mientras armaba la cadena para que OSCP funcionara en OpenSSL. OpenSSL arrojó errores cuando mi cadena no contenía Equifax, mientras que los navegadores y otros clientes parecían estar contentos solo con el certificado GeoTrust sin seguir avanzando en la cadena. (Supongo que los navegadores asumen que GeoTrust es una CA de nivel superior, mientras que OpenSSL no está contento con ellos).

openssl ocsp -issuer RapidSSL_GeoTrust_Equifax.pem \
  -cert my_rappidssl_cert.pem -url http://rapidssl-ocsp.geotrust.com

(Esto también afecta a nginx cuando se establece en el certificado básico de OCSP. Falla de la misma manera que OpenSSL lo hace con una cadena incompleta).

¿Hay alguna forma de obtener los últimos ocho días de mi certificado? ¿O debo pedir un reembolso de 8 días?

certificate-authority openssl ocsp

pregunta Aeyoun 31.08.2014 - 21:19

fuente

2 respuestas

Lea otras preguntas en las etiquetas certificate-authority openssl ocsp

¿Cómo probar contra DDoS en un ambiente controlado? ¿Cómo funciona la omisión de HSTS con SSLSTRIP + exactamente?

score 5 · Answer 1

Los certificados de

GeoTrust (y RapidSSL) tienen dos rutas de confianza. Hay un certificado raíz para GeoTrust Global CA válido del 2002-05-21 al 2022-05-21 y ahora está muy extendido, y también un certificado de "puente" para la misma CA válida 2002-05-21 a 2018-08-21 encadenando de nuevo a Equifax Secure Certificate Authority que, como usted vio, es válida de 1998-08-22 a 2018-08-22. Consulte mi (actualizada) respuesta a certificados de Google CA correctos . Entonces, sí, su certificado no será válido durante los últimos días si utiliza la cadena bridge + Equifax .

Esto también afecta las respuestas de OCSP en sus preguntas sin título.

No tengo un certificado de rapidssl para probar, pero si le pregunto a gtglobal-ocsp.geotrust.com sobre google-CA, el certificado de respuesta también está bajo GeoTrust Global CA. Si rapidssl-ocsp hace lo mismo, OpenSSL debería verificar la respuesta si el almacén de confianza contiene la raíz de GeoTrust pero no el certificado de puente porque puede confundir la búsqueda de cadenas, al menos hasta la fecha; Se anunció que 1.0.2 habrá cambios en la validación de la cadena y todavía no he visto los detalles.

Para los certificados de servidor AFAIK, todos los principales navegadores confían en la raíz de GeoTrust y se encadenarán a ella. No sé si validan las respuestas de OCSP de la misma manera (como certificados de servidor), pero espero que así sea.

Pero tenga en cuenta si su servidor (está configurado con y) proporciona en forma de protocolo de enlace el certificado de puente, y posiblemente la raíz de Equifax - la raíz siempre es opcional e innecesaria en el protocolo de enlace, cliente de OpenSSL arriba) debe tener la raíz de Equifax en el almacén de confianza, no "descubrirá" la alternativa y mejor confía en la ruta a la raíz de GeoTrust, que los navegadores y tal vez otros clientes tendrán.

score 1 · Answer 2

Tendrán que emitir un nuevo certificado antes de que el suyo se convierta en inválido. Siempre que utilicen la misma clave privada para firmar su nuevo certificado (raíz), su certificado (válido por más tiempo) será aceptado, siempre y cuando confíe en su autoridad.

La validez del certificado no se basa en el certificado en sí, sino en la firma de la clave privada. El uso de la misma clave privada para generar un nuevo certificado público, con un nuevo período válido, mantendrá la confianza igual.