enero 31, 2021
Articles
No hay comentarios

¿Cuál es el propósito de CA-BUNDLE en un servidor web?

Así que compro un certificado de DigiCert. El proceso es el siguiente:

  • Genere una clave privada y CSR en el servidor web.
  • Envíe CSR a DigiCert.
  • Obtenga un certificado firmado como así como su certificado raíz y certificado intermedio (CA-BUNDLE).
  • Cargue el certificado y CA-BUNDLE al servidor web a través de cPanel, Plesk, w \ e.

Mi pregunta es simplemente, ¿cuál es el propósito del CA-BUNDLE?

Mi certificado obtiene firmado por una CA intermedia de DigiCert que está firmada por la CA raíz de DigiCert. Todos los navegadores confían inherentemente en DigiCert (¿y supongo que es una CA intermedia?). El cifrado RSA real y el intercambio de claves AES se realiza utilizando los valores de mi certificado; de hecho, el servidor web no utiliza ninguno de los certificados del paquete CA para nada.

Dicho esto, ¿qué «¿Es el punto? y porque tengo que subirlo? Lo único que puedo ver es que si el cliente no tiene uno de los certificados intermedios instalados, ¿puede pedirlo a mi servidor web (y verificarlo con la raíz de DigiCert en el navegador)?

Respuesta

Todos los navegadores confían inherentemente en DigiCert

Muy cierto.

(¿y supongo que es una CA intermedia?)

Los clientes pueden incluir certificados intermedios de confianza, pero no se puede esperar que . Es su trabajo, el servidor, proporcionar los certificados intermedios necesarios para validar su cadena de certificados hasta la raíz ( RFC 5246 7.4.2 ): 

 certificate_list This is a sequence (chain) of certificates. The sender"s certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.

Lo único que puedo ver es que si el cliente no tiene uno de los certificados intermedios instalados, puede pedirlo a mi servidor web (y verificarlo con la raíz de DigiCert en el navegador)?

Correcto. Esa es exactamente la razón.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *