Tengo problemas para usar Wget para descargar un archivo a través de HTTPS desde ftp.gnu.org
usando la raíz Let's Encrypt X3 . El Let's Encrypt X3 tiene certificación cruzada, lo que significa que tiene un emisor y no está autofirmado. Al utilizar Let's Encrypt X3 , Wget está fallando con el error y no puede encontrar el certificado del emisor aunque estoy tratando de enraizar la confianza en el certificado de Let's Encrypt.
Visité RFC 4158, Internet X.509 Infraestructura de clave pública: Creación de rutas de certificación para ver cuál debería ser el comportamiento . El documento analiza en detalle la creación de rutas desde la entidad final o los certificados de suscriptor hasta las raíces de CA y los anclajes de confianza. Es lo que uno esperaría.
Sin embargo, Sección 1.3 proporciona terminología y define los anclajes de confianza:
Lista de confianza : una lista de anclajes de confianza.
Ancla de confianza : la combinación de una clave pública de confianza y el nombre de la entidad a la que pertenece la clave privada correspondiente.
Trust Anchor Certificate : un certificado autofirmado para un ancla de confianza que se utiliza en el procesamiento de la ruta de certificación.
"Trust Anchor Certificate" y la definición que exige "autofirmado" significa que no podemos basar la confianza en un certificado subordinado, como el Let's Encrypt X3 raíz que ha sido certificada de forma cruzada.
Mi pregunta es, ¿por qué el RFC hizo eso? ¿Por qué nos vemos obligados a usar un certificado autofirmado como un ancla e incluir partes innecesarias de la PKI que solo sirven para complicar la construcción de la ruta y aumentar la superficie de ataque?