openssl, chaîne de certificats d'émetteur

Question

ma situation: Je travaille sur une application qui utilise openssl et rsa-certificates pour une communication sécurisée avec d'autres parties. donc nous devons échanger des certificats. jusqu'ici tout va bien. principalement le certificat de partenaires est un d'un certificat signé CA (pas un certi racine ou un certi selfsigend). sur mon ordinateur portable (debian) J'ai de la distribution les certificats rootCA les plus courants installés dans mon infrastructure openssl. donc je peux vérifier le plus de certificats de partenaire parce que j'ai l'issuer-root-certis.

mon problème: sur mon maître-machine Je n'ai pas de root-certis pré-installé. donc je dois vérifier les partenaires certi pour l'émetteur, obtenir auprès de l'Internet, le mettre dans mon répertoire certi de confiance dans OpenSSL etc ......

ma question: Est-ce la façon normale pour faire ça???? C'est un peu vaste et aussi un peu difficile si c'est une chaîne plus longue.

merci pour votre aide!

Cordialement, Chris

Answer 1

Le but d'avoir les certificats racine pré-installés est parce qu'ils servent au sommet de la chaîne de confiance (en fait il est plus d'un arbre, ou une forêt d'arbres ...). En les faisant préinstaller, nous supposons (bien que nous sachions tous ce que les gens disent de supposer) qu'ils ne sont pas compromis et peuvent être utilisés pour vérifier n'importe quel autre certificat. Alors qu'il pourrait être possible de les compromettre par ex. pirater un serveur FTP et jouer avec les images DVD d'une distribution Linux, ce n'est pas très facile et ça ne va pas rester longtemps non détecté, ni cibler une organisation spécifique.

Dans votre cas, vous devez faire une des opérations suivantes:

• Installez les certificats racine dans votre système en utilisant un ensemble de votre fournisseur de système. Pour un niveau de confiance relativement élevé, vous devez télécharger le même paquet à partir de deux emplacements différents, de préférence via différents fournisseurs d'accès Internet (par exemple à la maison et au travail) et à partir de deux ou trois miroirs différents. Ensuite, vous pouvez comparer les fichiers téléchargés, qui devraient être identiques. Si votre fournisseur de système fournit des sommes de contrôle pour leurs fichiers de package en ligne, vous devez également les vérifier. Prenez les certificats racine d'un système de confiance via une clé USB et transférez-les à votre système. Vous devriez examiner la sécurité du système de confiance au préalable. L'utilisation d'une installation Linux vierge à partir d'un disque d'installation officiel serait une bonne source. Installez au moins un certificat racine de manière sécurisée (par exemple, via la méthode de lecteur USB), puis essayez de rechercher les certificats d'émetteur pour vos partenaires. Pour chaque certificat d'émetteur, vous devez vérifier et installer manuellement tous les autres certificats de la chaîne de confiance jusqu'à ce que vous obteniez un certificat racine préinstallé. Cela peut être une procédure très fastidieuse et vous serez frustré, car la plupart des autorités de certification utilisent plusieurs certificats pour diverses raisons, de la réduction de l'impact d'un compromis potentiel à des raisons marketing et commerciales.

Vous ne devez JAMAIS installer un certificat téléchargé d'Internet en tant qu'autorité de confiance, sauf si vous pouvez vérifier sa validité jusqu'à un certificat préinstallé. En réponse à votre question: à moins d'avoir beaucoup de temps et de patience, et de vouloir en savoir plus sur les PKI que la plupart des gens ne le voudraient, il suffit de trouver un moyen d'installer le certificat racine approprié sur votre système.

EDIT:

j'oublié de mentionner que certains fournisseurs de systèmes d'exploitation (par exemple SuSE) ont leurs propres certificats pré-installés dans leur système de gestion des paquets. Dans ce cas, le téléchargement de paquets depuis les dépôts officiels à l'aide de ce système de gestion de paquets doit être suffisamment sécurisé pour que vous n'ayez pas à vous soucier de ce qui précède pour garantir la validité du paquet de certificats racine.