Adicionamos dois certificados de CA - 1 CA raiz e 1 CA intermediária associada - ao sistema operacional correspondenteloja confiável(/etc/ssl/certsem nosso SuSE 11), porque eles não foram fornecidos pelo armazenamento confiável do sistema operacional (e provavelmente nunca serão, já que eles não estão no repositório).
Recentemente, esses dois certificados desapareceram após uma atualização automática, com o efeito óbvio de que os clientes não conseguiam mais se conectar via tls.
Em retrospectiva, não temos certeza se fizemos a repetição habitual das entradas, ou seja,
# c_rehash /etc/ssl/certs
SE não fizemos a repetição: Esse teria sido o motivo da exclusão dos certificados correspondentes durante a atualização?
Ou sempre existe o risco de perder certificados se eles forem adicionados manualmente ao armazenamento confiável (no sistema em questão existem duas bibliotecas SSL: openssl e mozilla-nss)?
Responder1
Você não adiciona CAs subordinadas ao repositório de âncoras confiáveis. Você confia explicitamente apenas na CA raiz (a âncora de confiança) e confia implicitamente em todos os certificados assinados por essa CA raiz ou por qualquer CA subordinada dessa raiz.
Se você não conseguir construir a cadeia entre a entidade final e a âncora de confiança, verifique se a entidade final está apresentando todos os certificados entre ela e a âncora de confiança. VerRFC 5256 Seção 7.4.2, especificamente o certificate_list
; que afirma que todos os certificados (opcionalmente com a raiz) devem ser apresentados no handshake TLS.
Além disso, os clientes da Microsoft têm a capacidade de baixar certificados de CA subordinados ausentes se a URL do certificado for especificada na extensão AIA. Outros, como o Mozilla Firefox, não usarão essa extensão, citando a privacidade do usuário como justificativa.
Observe que se você confiar explicitamente em uma CA subordinada, não há garantia de que seu cliente verificará a revogação de seu certificado. Se no futuro o subordinado for comprometido e revogado pela CA raiz, seu cliente poderá continuar a confiar nele. Será específico da implementação.