Janeiro 31, 2021
Articles
Sem comentários

Qual é a finalidade do CA-BUNDLE em um servidor web?

Então, comprei um certificado da DigiCert. O processo é assim:

  • Gere chave privada e CSR no servidor da web.
  • Envie CSR para DigiCert.
  • Obtenha um certificado assinado de volta como bem como seu certificado raiz e certificado intermediário (CA-BUNDLE).
  • Carregue o certificado e CA-BUNDLE para o servidor web via cPanel, Plesk, w \ e.

Minha pergunta é simplesmente, qual é o propósito do CA-BUNDLE?

Meu certificado é obtido assinado por uma CA intermediária DigiCert que é assinada pela CA raiz da DigiCert. Todos os navegadores confiam inerentemente no DigiCert (e presumo que seja uma CA intermediária?). A criptografia RSA real e a troca de chaves AES são feitas usando os valores do meu certificado; na verdade, o servidor da web não usa nenhum dos certificados do pacote CA para nada.

Dito isso, o que “é o ponto disso? e por que eu tenho que fazer o upload? A única coisa que posso ver é se o cliente não tiver um dos certificados intermediários instalado, ele pode solicitá-lo ao meu servidor da web (e verificá-lo na raiz DigiCert do navegador)?

Resposta

Todos os navegadores confiam inerentemente no DigiCert

É verdade.

(e presumo que seja CA intermediário?)

Os clientes podem incluir certificados intermediários confiáveis, mas não se pode esperar que o façam . É sua função, o servidor, fornecer quaisquer certificados intermediários necessários para validar sua cadeia de certificados até a raiz ( RFC 5246 7.4.2 ): 

 certificate_list This is a sequence (chain) of certificates. The sender"s certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.

A única coisa que posso ver é se o cliente não tem um dos certificados intermediários instalado, ele pode pedir isso ao meu servidor da web (e compará-lo à raiz DigiCert do navegador)?

Correto. Esse é exatamente o motivo.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *