1 votes

Vita avatar

Un client peut-il faire confiance à un certificat d'une autorité de certification à son niveau ? (ou plus bas)

Demandé el 18 de Mars, 2019
Quand la question a-t-elle été
95 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Dans une ICP où tous les clients obtiennent leurs certificats de l'autorité de certification de deuxième niveau, si une nouvelle autorité de certification apparaît avec un certificat légitime de la chaîne mais plus bas dans la hiérarchie, les clients du même niveau de l'autorité de certification feront-ils confiance aux enfants de cette autorité ? Il s'agirait de certificats dotés d'un inconnu CA (le troisième) mais avec les certificats familiers de l'autorité de certification racine et de l'autorité de certification subordonnée (deuxième niveau) de la chaîne ?

Je sais qu'il existe des AC interdomaines ou quelque chose comme ça, mais techniquement, il s'agirait du même domaine, d'un sous-domaine différent, si tant est qu'il y en ait un. Valable ou non, il n'y a aucune raison pour qu'une autorité de certification de 3e ou 10e niveau ne délivre pas de certificat pour le niveau supérieur, n'est-ce pas ?

J'ai fait un petit croquis pour mieux l'expliquer : enter image description here

Gracias.

Demandé el 18 de Mars, 2019 par Vita

Réponse

Trop de publicités?

2voto

jammus avatar
jammus Points 1796

Un client peut faire confiance à un certificat plus profond, mais c'est entièrement automatique.

La plupart des serveurs TLS permettent de fournir un ensemble de certificats intermédiaires en plus du certificat utilisé pour ce point final.

La racine de Letsencrypt est donc reconnue par la plupart des navigateurs/clients.

Mais les certificats de Letsencrypt proviennent d'une autorité de certification plus profonde qui ne fait généralement pas l'objet d'une confiance directe. Le serveur doit inclure l'intermédiaire.

Ainsi, lorsque le client se connecte, il obtient les intermédiaires et le certificat de la ressource à laquelle il se connecte. Il tentera d'établir une chaîne de confiance depuis la racine jusqu'au certificat, en passant par les intermédiaires.

Examinons donc le cas de https://serverfault.com/ . Mon système ne fait confiance qu'à l'autorité de certification DigiCert, mais pas à l'autorité de certification DigiCert High Assurance EV Root CA. Mais je peux utiliser https://serverfault.com/ car le serveur renvoie les intermédiaires.

stackexchange cert

Si vous voulez lancer le CLI, vous pouvez voir les certificats avec openssl

echo '' | openssl s_client -showcerts -connect serverfault.com:443
CONNECTED(00000003)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA
verify return:1
depth=0 C = US, ST = NY, L = New York, O = "Stack Exchange, Inc.", CN = *.stackexchange.com
verify return:1
---
Certificate chain
0 s:/C=US/ST=NY/L=New York/O=Stack Exchange, Inc./CN=*.stackexchange.com
  i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
-----BEGIN CERTIFICATE-----
MIIIP... # the intermediate
-----END CERTIFICATE-----
1 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
  i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
-----BEGIN CERTIFICATE-----
MIIEs... # cert for stackexchange
-----END CERTIFICATE-----
---
Server certificate
subject=/C=US/ST=NY/L=New York/O=Stack Exchange, Inc./CN=*.stackexchange.com
issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 3945 bytes and written 269 bytes
Verification: OK
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES128-GCM-SHA256
...

Ainsi, un client ne fait pas automatiquement confiance aux autorités de certification les plus profondes, mais il est facile de configurer les choses de manière à ce que les certificats soient fiables.

Répondu el 18 de Mars, 2019 par jammus (1796 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X