Os servidores web enviam a cadeia de certificados para o cliente web?

5

Se meu servidor web (Apache mais recente) tiver uma cadeia de certificados Verisign válida (não expirada ou revogada) (root - > intermediário - > leaf / meu servidor), o servidor envia a cadeia inteira (?) para o cliente? O cliente da Web (por exemplo, o Chrome mais recente) precisa procurar cada um desses mesmos certificados on-line, especialmente se o cliente já confia na CA raiz?

O que acontece se o cliente não puder entrar em contato com a Verisign? (por exemplo, configuração LAMP em um laptop sem WiFi).

    
por mellow-yellow 02.05.2016 / 04:57

2 respostas

9

Se você ler RFC 5246, capítulo 7.4.2 , verá que:

certificate_list
This is a sequence (chain) of certificates. The sender's certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.

explica isso muito bem. Se o servidor realmente faz isso depende da maneira como o administrador do sistema o configurou. Muitos servidores mal configurados "fogem" sem fazer o acima, devido ao fato de que muitos clientes podem buscar seus certificados de AC usando o URL fornecido na extensão AIA.

Muitos clientes também armazenam em cache os certificados que recebem / baixam, a fim de reduzir o ônus de buscar cada vez que eles são compilados. O Chrome no Windows usa o CAPI da Microsoft para gerenciar seus certificados (o mesmo do IE) que armazenam certificados em cache. O Chrome no Linux / OSX usa o NSS da Mozilla para gerenciar seus certificados, que também armazenam certificados em cache. Então, as chances são de que, se você usou seu site on-line, todos os certificados de CA superiores serão armazenados em cache em seu sistema e o funcionamento "offline" funcionará (por enquanto).

No entanto, algumas autoridades de certificação usam o OCSP para verificação de revogação. Se você estiver offline, o cliente do OCSP não poderá entrar em contato com o respondente do OCSP para obter informações sobre revogação. O que acontece nesse cenário depende da configuração do seu software cliente. Por padrão, a maioria dos softwares dos navegadores falha - isto é, eles ignoram o fato de que um respondente do OCSP não pode ser contatado e assumir que tudo está OK. Alguns podem ser configurados para 'falha grave', onde eles falharão nas verificações de revogação se o respondente do OCSP não puder ser contatado.

    
por 02.05.2016 / 09:14
0

O que seu servidor envia depende de como você o configura, é claro.

Ele enviará o conteúdo do arquivo SSLCertificateChainfile se configurado e o conteúdo de seu SSLCertificateFile .

Eles não precisam do certificado de raiz da CA, mas provavelmente devem incluir o certificado intermediário para permitir que um cliente estabeleça a cadeia de confiança.

Não sei o que acontece em um cenário off-line, mas quando você está off-line, não é possível usar meus serviços de produção, então esse não é um problema que me preocupei em investigar. Por favor, teste você mesmo.

    
por 02.05.2016 / 07:50