PKI-Zwischenzertifikatsvertrauen

527
Paul

Nehmen wir an, wir haben eine firmeneigene CA. Das Zertifikat wird von einer der in allen Browsern vorhandenen vertrauenswürdigen Wurzeln als vertrauenswürdig eingestuft.

Mit dieser Zertifizierungsstelle stellen wir eine Reihe von Zertifikaten für Server in der Organisation aus - beispielsweise für Webmail über SSL.

Würde ein Benutzer, der diesen Webmail-Server besucht und der vertrauenswürdige Stamm in seinem vertrauenswürdigen Stammzertifikatspeicher vorhanden ist, automatisch dem Zertifikat des Webmail-Servers vertrauen, obwohl er dem Zertifikat der Unternehmenszertifizierungsstelle nicht explizit vertraut?

Ich verstehe, dass Zwischenzertifikate das Vertrauen ihres Unterzeichners erben, aber bestätigen wollen.

1

1 Antwort auf die Frage

1
haimg

Der Browser muss die Zertifikatskette zu einem der CA-Zertifikate verfolgen, dem er explizit vertraut. Wenn also die Kette RootCA (vertrauenswürdig) -> IntermediateCA -> YourCert ist, muss der Browser das CA-Zwischenzertifikat besitzen, um die Kette zu validieren.

Wenn Sie Apache verwenden, können Sie die Direktive SSLCertificateChainFile verwenden, um den Webserver das Zwischenzertifikat (Ihre interne Zertifizierungsstelle) an den Browser übergeben zu lassen. Dann wird alles gut gehen. Ich bin mir sicher, dass es ähnliche Mechanismen auf allen anderen Hauptservern gibt.

Ja, ich verstehe die Kette muss präsentiert werden, aber meine Frage ist das explizite Vertrauen des Vermittlers. Das vom Webserver vorgelegte Zertifikat ist in sich selbst nicht vertrauenswürdig, wird jedoch von einer Zertifizierungsstelle signiert, die ebenfalls nicht vertrauenswürdig ist. Das Zertifizierungsstellenzertifikat wird jedoch von einem vertrauenswürdigen Stamm signiert. Wir vertrauen dem Webserver, weil er von einer CA signiert wird, deren Zertifikat von einem Root signiert wird? Sie müssen der Zertifizierungsstelle nicht direkt vertrauen, indem Sie das Zertifikat in unserem Repository für vertrauenswürdige Zertifikate haben. Paul vor 12 Jahren 0
@ Paul: Ja! Das ist der springende Punkt für Zwischenzertifikate ... Es ist nicht nötig, ihnen explizit zu vertrauen, es genügt, wenn die übergeordnete Stammzertifizierungsstelle explizit als vertrauenswürdig eingestuft wird. haimg vor 12 Jahren 0
Warte eine Sekunde. Wie kann ich verhindern, dass meine Zertifizierungsstelle ein Zertifikat für microsoft.com ausstellt, vorausgesetzt, ich präsentiere die Kette oben mit einem vertrauenswürdigen Stamm auf meinem Webserver. Paul vor 12 Jahren 0
@ Paul: Nichts. Einige Leute setzen zu viel Vertrauen in die PKI. Aber im Grunde ist "einige zufällige CA" nicht viel sicherer als selbstsignierte Zertifizierer. Natürlich können Sie eine signierte Sub-CA nicht einfach bei einer seriösen CA bestellen, ohne sich zu versichern, wie sie verwendet wird. haimg vor 12 Jahren 0

Verwandte Probleme