Hemos agregado dos certificados de CA (1 CA raíz y 1 CA intermedia asociada) al sistema operativo correspondiente.tienda de confianza(/etc/ssl/certsen nuestro SuSE 11), porque no fueron proporcionados por el almacén de confianza del sistema operativo (y probablemente nunca lo serán, ya que no están en el repositorio).
Recientemente, estos dos certificados desaparecieron después de una actualización automática, con el efecto obvio de que los clientes ya no pudieron conectarse a través de tls.
En retrospectiva, no estamos seguros de si hicimos el habitual refrito de las entradas, es decir
# c_rehash /etc/ssl/certs
SI no hicimos el refrito: ¿Habría sido este el motivo de la eliminación de los certificados correspondientes durante la actualización?
¿O siempre existe el riesgo de perder los certificados si se agregan manualmente al almacén de confianza (en el sistema en cuestión hay dos bibliotecas SSL: openssl y mozilla-nss)?
Respuesta1
No agrega CA subordinadas al almacén de anclaje de confianza. Solo confía explícitamente en la CA raíz (el ancla de confianza) e implícitamente confía en todos los certificados firmados por esa CA raíz o cualquier CA subordinada de esa CA raíz.
Si no puede construir la cadena entre la entidad final y el ancla de confianza, verifique si la entidad final presenta todos los certificados entre ella y el ancla de confianza. VerRFC 5256 Sección 7.4.2, específicamente el certificate_list; que establece que todos los certificados (con opcionalmente la raíz) deben presentarse en el protocolo de enlace TLS.
Además, los clientes de Microsoft tienen la capacidad de descargar certificados de CA subordinados que faltan si la URL del certificado se especifica en la extensión AIA. Otros, como Mozilla Firefox, no utilizarán esa extensión, citando como justificación la privacidad del usuario.
Tenga en cuenta que si confía explícitamente en una CA subordinada, no hay garantía de que su cliente verifique la revocación de su certificado. Si en un momento futuro el subordinado se ve comprometido y revocado por la CA raíz, es posible que su cliente siga confiando en él. Será una implementación específica.