Validation de la chaîne de confiance SSL

Question

J'ai une question générale. Théoriquement, si vous avez la chaîne de confiance suivante: RootCA -> IntermediateCA -> MyDomainCertificate, il faut vérifier 2 certificats afin de vérifier votre certificat. Lorsque j'envoie MyDomainCertificate.crt (X509v3) à quelqu'un pour vérification, dois-je lui envoyer toute la chaîne? Le vérificateur est-il en mesure de télécharger automatiquement tous les certificats intermédiaires?

Voilà comment je l'espère cela fonctionne:

1. J'envoyer MyDomainCertificate.crt à quelqu'un et il veut vérifier.
2. Le vérificateur a besoin de IntermediateCA.crt (le certificat de mon émetteur) pour vérifier MyDomainCertificate.crt, donc il le télécharge automatiquement.
3. Le vérificateur a besoin de RootCA.crt pour vérifier IntermediateCA.crt. Le vérificateur chapeaute ce certificat racine localement et termine le processus de vérification.

Exemples:

1. Firefox doit être en mesure de vérifier tous les certificats de serveur. Est-ce que firefox est capable de télécharger automatiquement tous les certificats intermédiaires, ou est-ce que tous les serveurs envoient la chaîne de confiance complète?

2. Si j'ai l'authentification du client, est-ce que Tomcat télécharge automatiquement tous les certificats intermédiaires ou est-ce que tous les clients envoient la chaîne de confiance complète pour leurs certificats?

J'espère que quelqu'un peut aider ma théorie/pratique la confusion. Merci!

Answer 1

La configuration d'un SSL doit toujours inclure l'installation de certificats intermédiaires (chaîne de confiance) car certains navigateurs n'ont que le certificat racine et n'ont pas de certificat intermédiaire, et votre serveur web doit envoyer une copie au client du certificat intermédiaire.

Vous pouvez utiliser openssl pour vérifier votre configuration SSL. Lire cet article: https://major.io/2012/02/07/using-openssls-s_client-command-with-web-servers-using-server-name-indication-sni/