対応するOSに2つのCA証明書(ルートCA 1つと関連する中間CA 1つ)を追加しました。信頼ストア(/etc/ssl/証明書これらは、OS の信頼ストアによって提供されなかったため (リポジトリにないため、今後もおそらく提供されないでしょう)、SuSE 11 では使用されません。
最近、これら 2 つの証明書は自動更新後に消えてしまい、クライアントが TLS 経由で接続できなくなったという明らかな影響がありました。
振り返ってみると、私たちはいつものようにエントリを焼き直したかどうかはわかりません。
# c_rehash /etc/ssl/certs
再ハッシュを実行しなかった場合、これが更新中に対応する証明書が削除された理由になりますか?
または、証明書を手動で信頼ストアに追加すると、証明書が失われるリスクが常にあるのでしょうか (問題のシステムには、openssl と mozilla-nss という 2 つの SSL ライブラリがあります)?
答え1
信頼アンカー ストアに下位 CA を追加しません。ルート CA (信頼アンカー) のみを明示的に信頼し、そのルート CA またはそのルートの下位 CA によって署名されたすべての証明書を暗黙的に信頼します。
エンドエンティティとトラストアンカー間のチェーンを構築できない場合は、エンドエンティティがトラストアンカーとの間のすべての証明書を提示しているかどうかを確認します。RFC 5256 セクション 7.4.2具体的には、certificate_listすべての証明書(オプションでルート証明書を含む)が TLS ハンドシェイクで提示される必要があることを規定する です。
余談ですが、Microsoft クライアントは、証明書の URL が AIA 拡張機能で指定されている場合、不足している従属 CA 証明書をダウンロードできます。Mozilla Firefox などの他のクライアントは、ユーザーのプライバシーを理由にその拡張機能を使用しません。
下位 CA を明示的に信頼する場合、クライアントがその証明書の失効をチェックする保証はありません。将来、下位 CA が侵害され、ルート CA によって失効された場合、クライアントはそれを信頼し続ける可能性があります。これは実装によって異なります。