Gennaio 31, 2021
Articles
Nessun commento

Qual è lo scopo del CA-BUNDLE su un server web?

Quindi acquisto un certificato da DigiCert. Il processo è questo:

  • Genera chiave privata e CSR sul server web.
  • Invia CSR a DigiCert.
  • Ottieni di nuovo un certificato firmato come così come il loro certificato radice e certificato intermedio (CA-BUNDLE).
  • Carica il certificato e CA-BUNDLE sul server web tramite cPanel, Plesk, w \ e.

La mia domanda è semplicemente: qual è lo scopo del CA-BUNDLE?

Il mio certificato ottiene firmato da una CA Intermedia DigiCert che è firmata dalla CA radice di DigiCert. Tutti i browser si fidano intrinsecamente di DigiCert (e presumo sia una CA intermedia?). Leffettiva crittografia RSA e lo scambio di chiavi AES vengono eseguiti utilizzando i valori nel mio certificato, infatti il server web non utilizza nessuno dei certificati nel bundle CA per niente.

Detto questo, cosa “è il punto? e perché devo caricarlo? Lunica cosa che posso vedere è che se il client non ha installato uno dei certificati intermedi, può richiederlo al mio server web (e verificarlo con la radice DigiCert nel browser)?

Risposta

Tutti i browser si fidano intrinsecamente di DigiCert

Abbastanza vero.

(e presumo sia “una CA intermedia?)

I client possono includere certificati intermedi attendibili, ma non ci si può aspettare È compito tuo, il server, fornire i certificati intermedi necessari per convalidare la catena di certificati fino alla radice ( RFC 5246 7.4.2 ): 

 certificate_list This is a sequence (chain) of certificates. The sender"s certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.

Lunica cosa che posso vedere è che se il client non ha installato uno dei certificati intermedi, può chiederlo al mio server web (e verificarlo con la radice DigiCert nel browser)?

Esatto. Questo è esattamente il motivo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *