En términos generales, deberías poner el certificado raíz en cosas. El modelo generalmente funciona así:
Clientes
Tener el certificado raíz "fijado" (es decir, incrustado en el almacén de confianza).
Siempre que validen un certificado, debe rastrearse hasta algún certificado en su almacén de confianza, la cantidad de certificados intermedios entre el certificado final y el certificado anclado debe ser irrelevante, por lo que no hay razón para no fijar un certificado raíz. - Al menos desde la perspectiva del cliente.
Autoridades de certificación
Qué hacer en el caso de que la clave de la AC esté comprometida es una gran preocupación para las personas que manejan CA. Para facilitar la limpieza en el caso de que algo esté mal, las personas suelen utilizar una "raíz sin conexión":
-
Haga que su CA raíz firme algunas CA subordinadas, luego desenchufe la CA raíz (si la CA es un servidor físico dedicado), u oculte la clave privada raíz en un disco de respaldo bien protegido y asegúrese de que no haya Copias flotando alrededor. Esto hace que sea muy difícil para los hackers robar la clave privada.
-
Haga su emisión diaria de certificados, publicación de CRL / OCSP, etc. fuera de los intermedios. Están conectados a Internet y, por lo tanto, corren un mayor riesgo de compromiso.
-
En el caso de un compromiso de una CA intermedia, puede activar su CA raíz, revocar ese intermediario, abrir un intermediario completamente nuevo y volver a emitir todos los certificados legítimos que se revocaron incidentalmente.
-
Los servidores que usaban certificados firmados por ese intermediario tendrán que instalar el certificado recién emitido ya que sus antiguos ahora están revocados.
-
Los clientes no se verán afectados en absoluto ya que han anclado el certificado raíz, por lo que el intercambio de los intermedios no tiene ningún efecto.
Como un experimento, compare lo anterior con lo que tendría que hacer si su clave de CA raíz se ve comprometida. Dado que puede llevar meses o años hasta que una raíz se incruste en los navegadores públicos, clientes vpn, otros servidores, etc., probablemente significa que la CA se cerrará.
Ventajas de anclar una raíz, vs anclar un intermedio:
- El ejemplo anterior ilustra que la fijación de la raíz hace que sea MUCHO más fácil de limpiar de un compromiso porque simplemente puede revocar el intermediario comprometido, volver a emitir algunos certificados y seguir adelante con su vida.
- Hay menos certificados en tu almacén de confianza. Si todos tuvieran que identificar cada intermediario, las tiendas de confianza de todos serían mucho más grandes hasta el punto en que podría afectar el rendimiento de la validación de certificados, ya que la búsqueda en la tienda de confianza llevaría más tiempo.
- Balanceo de carga: al fijar la raíz, es libre de reorganizar la topología de sus intermedios, o incluso ponerlos detrás de un equilibrador de carga para manejar las solicitudes de certificados y a los clientes no les importará.