Preguntas básicas del certificado autofirmado

9

Algunas preguntas básicas sobre certificados autofirmados

Pregunta 1

¿Un certificado autofirmado debe tener una CA? Me doy cuenta de que un certificado "real" se debe validar de otra manera, pero ¿qué pasa con el autofirmado?

Pregunta 2

Si un autofirmado no tiene una CA, ¿debería ir al almacén de CA confiable para no causar errores de validación de la cadena cuando se usa para la prueba?

Pregunta 3

¿Hay alguna forma de ver si un certificado autofirmado está firmado por una CA? Si tiene una CA, ¿esto afecta la pregunta anterior? Entonces, ¿tengo que tener la CA para confiar en ella o puedo poner el certificado real en la tienda de la CA para crear un canal SSL seguro, por ejemplo?

    
pregunta Riri 23.10.2013 - 19:29
fuente

2 respuestas

20

Un certificado está firmado por la CA que lo emite. Un certificado autofirmado, por definición, no es emitido por una CA (o es su propia CA, si desea verlo así).

Un certificado puede tener CA power , es decir, ser confiable para firmar otros certificados, o no, dependiendo de si contiene una extensión Basic Constraints con el indicador cA establecido en TRUE ( cf el estándar ).

Lo que sucede es lo siguiente: cuando alguna aplicación quiere validar un certificado (por ejemplo, un navegador web que quiere hacer SSL con un servidor y acaba de obtener el certificado del servidor), querrá crear una cadena de certificados que comienza con un "ancla de confianza" (uno de los certificados en su almacén de certificados de "raíz confiable") y finaliza con el certificado para validar (denominado "EE" como "entidad final"). Las reglas exactas para que una cadena sea válida son intrincate y están llenas de detalles; a los efectos de esta respuesta, limitémonos a estas condiciones necesarias:

  • La cadena debe comenzar con un ancla de confianza.
  • Cada certificado está firmado por el certificado anterior en la cadena (es decir, la firma en cada certificado debe verificarse en relación con la clave pública tal como se almacena en el certificado anterior).
  • Cada certificado, excepto la entidad final, tiene una extensión Basic Constraints con el indicador cA establecido en TRUE .

Por lo tanto, un certificado autofirmado pero no de CA, cuando se usa como un ancla de confianza, se aceptará como como un certificado de entidad final (es decir, en una cadena reducida a ese certificado exactamente), pero de otro modo no. Este es el caso normal. Cuando, como usuario del navegador, desea aceptar un certificado autofirmado dado como válido, le dice a su navegador que el certificado autofirmado debe convertirse en un ancla confiable, pero ciertamente no ¡Quiere confiar en ese certificado para emitir otros certificados con otros nombres! Desea confiar en solo para autenticar un sitio específico.

Como es habitual, los detalles pueden variar , no todos los navegadores reaccionan de la misma manera. Pero los conceptos básicos siguen siendo:

  • Un certificado autofirmado se encuentra fuera del mundo de CA: no es emitido por una CA.
  • Un cliente (navegador) usa anclajes de confianza como base para lo que confía.
  • Un certificado autofirmado para un servidor web, por lo general, debe ser confiable (si es que lo tiene) solo para ese servidor, es decir, agregado como un ancla de confianza, pero no etiquetado como "bueno para emitir certificados ".

Cuando una cadena se reduce a un solo certificado, es decir, la entidad final también es el ancla de confianza, esto se conoce como confianza directa : un certificado específico en el que se confía ya se conoce, exactamente , en lugar de ser confiable en virtud de ser emitido por una CA de confianza.

    
respondido por el Tom Leek 23.10.2013 - 20:02
fuente
6
  1. No. Un certificado autofirmado no está firmado por una CA, sino que está firmado por sí mismo. Sin embargo, todas las CA publican un certificado autofirmado que se utiliza para firmar otros certificados. Una "CA de confianza" es una que se incluye en su sistema operativo o navegador, o una en la que usted confía explícitamente.

  2. Depende del certificado autofirmado. Si lo está utilizando como CA y para firmar otros certificados en su organización, entonces podría agregarlo a mi tienda de CA de confianza. Si solo se usa para autenticar un servidor en particular y no se usa como CA, lo incluiría en una tienda diferente, como "editores de confianza". Incluso así, me aseguraría de que el certificado se almacene y maneje con cuidado: cualquiera que lo obtenga puede hacer lo que quiera con sus máquinas en las que confía. Nunca colocaría un certificado aleatorio en mi tienda de CA de confianza.

  3. Al final de una cadena de confianza, se encuentra un certificado autofirmado que dice "Soy mi propio padre". Validar la cadena de certificados que firma un certificado ordinario significa validar las firmas de cada firmante, hasta que encuentre un certificado autofirmado. En ese momento, el certificado autofirmado debe estar en su tienda de CA confiable.

respondido por el John Deters 23.10.2013 - 19:52
fuente

Lea otras preguntas en las etiquetas