J'ai une question générale. Théoriquement, si vous avez la chaîne de confiance suivante: RootCA -> IntermediateCA -> MyDomainCertificate, il faut vérifier 2 certificats afin de vérifier votre certificat. Lorsque j'envoie MyDomainCertificate.crt (X509v3) à quelqu'un pour vérification, dois-je lui envoyer toute la chaîne? Le vérificateur est-il en mesure de télécharger automatiquement tous les certificats intermédiaires?Validation de la chaîne de confiance SSL
Voilà comment je l'espère cela fonctionne:
- J'envoyer MyDomainCertificate.crt à quelqu'un et il veut vérifier.
- Le vérificateur a besoin de IntermediateCA.crt (le certificat de mon émetteur) pour vérifier MyDomainCertificate.crt, donc il le télécharge automatiquement.
- Le vérificateur a besoin de RootCA.crt pour vérifier IntermediateCA.crt. Le vérificateur chapeaute ce certificat racine localement et termine le processus de vérification.
Exemples:
Firefox doit être en mesure de vérifier tous les certificats de serveur. Est-ce que firefox est capable de télécharger automatiquement tous les certificats intermédiaires, ou est-ce que tous les serveurs envoient la chaîne de confiance complète?
Si j'ai l'authentification du client, est-ce que Tomcat télécharge automatiquement tous les certificats intermédiaires ou est-ce que tous les clients envoient la chaîne de confiance complète pour leurs certificats?
J'espère que quelqu'un peut aider ma théorie/pratique la confusion. Merci!