RapidSSL - Eu realmente preciso incluir a CA raiz?

2

Eu tenho um certificado RapidSSL e as instruções me pedem para incluir: RapidSSL SHA256 CA-G3, a raiz da CA GeoTrust Global e a raiz da Autoridade de Certificação Equifax Secure em minha cadeia.

No entanto, isso cria todos os tipos de avisos no SSLLabs.com (SHA1withRSA - WEAK SIGNATURE) com os certificados de raiz GeoTrust e Equifax. Também estou vendo o aviso "O certificado intermediário tem uma assinatura fraca. Atualize para o SHA2 o mais rápido possível para evitar avisos do navegador".

Agora, se eu remover os certificados GeoTrust e Equifax da minha cadeia (e só tiver meu certificado + RapidSSL SHA256 CA-G3), ele corrigirá todos esses avisos e tudo ficará bem.

Ele também exibe o certificado "GeoTrust Global CA" com a mensagem em verde "In trust store".

Eu terei algum problema de SSL deixando de fora os certificados GeoTrust e Equifax da minha cadeia?

Saída de SSL Labs (Meu certificado + RapidSSL SHA256 CA - G3):

Additional Certificates (if supplied)

Certificates provided 2 (2279 bytes)
Chain issues None
#2
Subject RapidSSL SHA256 CA - G3
Fingerprint: 0e34141846e7423d37f20dc0ab06c9bbd843dc24
Valid until Fri, 20 May 2022 21:39:32 UTC (expires in 6 years and 9 months)
Key RSA 2048 bits (e 65537)
Issuer GeoTrust Global CA
Signature algorithm SHA256withRSA


Certification Paths

Path #1: Trusted
1 Sent by server  www.example.com
Fingerprint: fbea1fc476bcee2eae7a1001e4a37bf560d0c013
RSA 2048 bits (e 65537) / SHA256withRSA

2 Sent by server  RapidSSL SHA256 CA - G3
Fingerprint: 0e34141846e7423d37f20dc0ab06c9bbd843dc24
RSA 2048 bits (e 65537) / SHA256withRSA

3 In trust store  GeoTrust Global CA   Self-signed
Fingerprint: de28f4a4ffe5b92fa3c503d1a349a7f9962a8212
RSA 2048 bits (e 65537) / SHA1withRSA
Weak or insecure signature, but no impact on root certificate
    
por Brian Smith 24.07.2015 / 20:59

1 resposta

4

Isso parece ser um caso em que as CAs fizeram assinatura cruzada.

Existem duas cadeias que terminam com o seu certificado:

Corrente 1:

Path #1: Trusted  

1 Sent by server  www.example.com
Fingerprint: fbea1fc476bcee2eae7a1001e4a37bf560d0c013
 RSA 2048 bits (e 65537) / SHA256withRSA

2 Sent by server  RapidSSL SHA256 CA - G3
Fingerprint: 0e34141846e7423d37f20dc0ab06c9bbd843dc24
 RSA 2048 bits (e 65537) / SHA256withRSA    

3 In trust store  GeoTrust Global CA   Self-signed     
Fingerprint: de28f4a4ffe5b92fa3c503d1a349a7f9962a8212
 RSA 2048 bits (e 65537) / SHA1withRSA
Weak or insecure signature, but no impact on root certificate


Corrente 2:

Path #2: Trusted  
1 Sent by server  www.example.com
Fingerprint: fbea1fc476bcee2eae7a1001e4a37bf560d0c013
 RSA 2048 bits (e 65537) / SHA256withRSA    

2 Sent by server  RapidSSL SHA256 CA - G3
Fingerprint: 0e34141846e7423d37f20dc0ab06c9bbd843dc24
 RSA 2048 bits (e 65537) / SHA256withRSA    

3 Sent by server  GeoTrust Global CA
Fingerprint: 7359755c6df9a0abc3060bce369564c8ec4542a3
 RSA 2048 bits (e 65537) / SHA1withRSA
WEAK SIGNATURE

4 In trust store  Equifax / Equifax Secure Certificate Authority   Self-signed 
Fingerprint: d23209ad23d314232174e40d7f9d62139786633a
RSA 1024 bits (e 65537)  / SHA1withRSA
WEAK KEY IN MOZILLA'S TRUST STORE   MORE INFO »
Weak or insecure signature, but no impact on root certificate

(da saída do relatório do SSL Labs)

Realmente, "Chain 1" é a principal opção e "Chain 2" provavelmente foi interessante quando este certificado da CA GeoTrust foi introduzido pela primeira vez e nem todos tinham o certificado GeoTrust ( de28f4a4ffe5b92fa3c503d1a349a7f9962a8212 ) em suas listas, enquanto eles provavelmente fizeram todos têm o Equifax um ( d23209ad23d314232174e40d7f9d62139786633a ).


Ambas as cadeias tecnicamente ainda são válidas, mas a que está começando na raiz Equifax está mostrando sua idade. Ele tem um certificado raiz de 1024 bits (considerado fraco agora) e o primeiro certificado intermediário é SHA1 assinado (considerado fraco agora).

Eu diria que, neste caso, provavelmente há pouco ponto que serve certificados intermediários para "Chain 2".
Se você deseja confirmação, pergunte-se por que ainda estão solicitando que você atenda certificados para "Cadeia 2" ou se pergunte quais podem ser as preocupações de compatibilidade de não fazê-lo. Recomendamos que você pergunte a sua AC.

    
por 24.07.2015 / 23:53

Tags