racine CA avec l'URL de la chaîne

Réponses:

1

Cela ne peut pas être garanti pour être possible.

À partir du certificat intermédiaire, vous pouvez toujours trouver l’identité de l’émetteur et éventuellement l’identifiant de la clé d’autorité (essentiellement le numéro de série du certificat CA supérieur) et / ou l’extension d’accès aux informations d’autorité qui peut ou non contenir l’URL pointant vers le certificat racine.

De même, le certificat de site contiendra toujours l'identité de l'autorité de certification intermédiaire (en tant qu'émetteur) et les extensions facultatives peuvent inclure le numéro de série et l'URL du certificat de l'autorité de certification intermédiaire, mais cela n'est pas strictement garanti.

Vous pouvez obtenir toutes les informations "intéressantes" d'un certificat avec cette commande openssl:

openssl x509 -noout -text -certopt no_pubkey,no_sigdump,no_header,ext_parse -nameopt multiline,show_type -in <certificate filename>

Cela dit, c’est une commande assez longue et complexe, et vous voudrez peut-être en faire un alias. Dans de nombreux cas, une version plus simple est assez utile pour apprendre et se rappeler:

openssl x509 -noout -text -in <certificate filename>

La sortie de cette commande inclut des vidages hexagonaux généralement inutiles, et elle peut ne pas présenter de manière très utile les extensions de certificat nouvelles ou inconnues, mais dans la plupart des cas, elle suffira.

Suivre la chaîne dans l'autre sens est encore plus difficile. Comme le certificat racine a généralement une durée de vie beaucoup plus longue que les certificats intermédiaires, le numéro de série et / ou l'URL de téléchargement du certificat intermédiaire ne seront pas nécessairement connus au moment de la création du certificat de l'autorité de certification racine.

Vous ne devez pas faire confiance aux informations contenues dans les certificats de sites aléatoires avant de vérifier la chaîne de confiance du certificat. Le site peut, par souci de commodité, vous fournir le certificat d’autorité de certification intermédiaire (supposé), mais pour le valider réellement, le certificat racine doit déjà se trouver dans votre propre magasin de certificats racine de confiance.

En fait, vous êtes probablement un peu plus en sécurité si vous ne parvenez pas à détecter automatiquement l'URL du certificat de l'autorité de certification racine d'une autorité de certification inconnue à partir du certificat de site ou intermédiaire: vous devrez alors rechercher Google pour cette autorité de certification. certificat de CA falsifié utilisé par ce nom de CA, vous aurez une chance de voir des articles de presse à ce sujet.

Vous auriez alors l'occasion d'examiner de plus près les détails du certificat et de l'autorité de certification elle-même, et d'évaluer si cette autorité de certification est suffisamment digne de confiance ou non. C’est essentiellement la raison pour laquelle lors de l’installation d’un nouveau certificat d’autorité de certification racine, un humain doit toujours être dans la boucle .

telcoM
la source