Me estoy conectando a un servidor web específico a través del firewall, pero cuando lo hago, el firewall alerta que el certificado raíz ha caducado, cuando paso por alto el firewall, todos los navegadores no ven ningún problema con los certificados y cuando reviso la cadena, todos los certificados están bien.
Lo miré más profundamente y descubrí que el navegador en realidad está reemplazando el certificado caducado enviado por el servidor por uno no caducado del almacén de certificados de Windows. (El servidor envía una cadena de cuatro certificados: raíz, intermedio 1, intermedio 2 y certificado de servidor. El Intermedio 1 ha caducado. Es reemplazado por el navegador/SO y se convierte en el certificado raíz del navegador. Es una cadena de certificados de GlobalSign. )
Aparentemente tienen el mismo nombre descriptivo y posiblemente otras propiedades similares (por supuesto, la clave pública es la misma). Dado que IE/Chrome están haciendo lo mismo, se parece mucho a alguna característica de Windows utilizada por los navegadores.
¿Por qué sucede eso? ¿Cómo se puede reemplazar el certificado? ¿Existe algún peligro potencial que no conozco?
Aquí hay una captura de imagen que compara el visor del navegador y la captura de paquetes.
Respuesta1
RESPUESTA: Windows ignora los certificados de CA proporcionados por el servidor web. Solo comparará el certificado del servidor web con el certificado de CA apropiado que está almacenado en el almacén de certificados de CA del sistema operativo, en los que el sistema operativo confía. Windows también tiene sus formas de recuperar la cadena de certificados de CA que emitió el certificado del servidor web si la cadena aún no está almacenada en el almacén de certificados de CA del sistema operativo. Algunos detalles más sobre esto se pueden encontrar aquí:
¿Podría simplemente visitar un sitio web insertar una CA raíz como confiable en mi PC?
Algunos cortafuegos comprobarán los certificados de CA enviados por el servidor web y bloquearán el acceso si uno de los certificados ha caducado. Los cortafuegos en general tienen un comportamiento diferente en cuanto a certificados en comparación con los sistemas operativos habituales como Windows.
También aprendimos que los certificados de CA se pueden volver a emitir con diferentes números de serie y fechas de validez. El certificado tendrá el mismo "nombre descriptivo" y pares de claves.
En este caso específico, el servidor web envía una versión antigua de un certificado CA perteneciente a la cadena, el firewall detecta que el certificado ha caducado y bloquea el acceso al sitio web. Cuando se omite el firewall, se puede acceder al sitio, eso sucede porque Windows tiene la nueva versión del certificado de CA y verifica el certificado del servidor web con él.