Forum général.général Question Certificat pks12 avec ou sans certificat racine ?

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
2
23
mai
2019

Bonjour,

Je dois renouveler des certificats ssl pour un ensemble de serveur d'un client. Ces certificats permettent d'authentifier des serveurs accessibles sur internet.
Nous avons envoyé les CSR au client qui a fait créer les certificats et nous les a transmis

On a reçu des .PEM contenant le certificat du serveur, celui de l’autorité intermédiaire et celui de l'autorité racine.

Il m'est demandé de retirer le certificat de l'autorité racine avant de transformer le certificat en pkcs12

La raison invoquée est qu'il serait possible à un attaquant mal intentionné de récupérer le certificat racine.
Personne ne peut m'en dire plus.

Je me pose les questions suivantes :
Si la ROOT CA est intégrée dans le .pem par l'autorité de certification elle même pourquoi la retirer ?
Si c'est risqué de la laisser, pourquoi l'émetteur du certificat l'inclus ?

Si un attaquant récupérait l'autorité de certification racine, qui pourrait il compromettre ? Seulement le serveur concerné ? L'ensemble des serveurs concernés ? Comment ferait il ?

Je suis preneur de toute documentation, site, livre, colloque permettant d'enrichir mes connaissance en certificats :-)

  • # Rien compris à leur délire

    Posté par  (site web personnel) . Évalué à 5. Dernière modification le 23 mai 2019 à 22:28.

    Je vote bullshit complet.

    En général on essaie de mettre une chaîne de certificats afin de faciliter les vérifications. Si une racine A signe un certificat intermédiaire B qui signe le certificat final www.example.org, c'est plus sympa d'inclure a minima le certificat B et le certificat final pour que les clients n'aient besoin que de connaître la racine A. Avoir le certificat B (la partie publique) ne met en danger ni B ni A… Et quand on est parti là-dedans, autant avoir A, B, et le certificat final (dans le bon ordre, suivant les applicatifs).

    Et le jour où le certificat B est remplacé par B', ou B'', etc., les clients n'ont pas besoin de mise à jour, il suffit de continuer à faire confiance à A…

    Debian Consultant @ DEBAMAX

    • [^] # Re: Rien compris à leur délire

      Posté par  . Évalué à 1.

      Bonjour Cyril,

      Merci pour la réponse :-)

      J'ai pris finalement sur moi de créer mes .pkcs12 avec le certificat X509 au format .pem intégrant la chaîne complète de certification (après lecture de certains sites).

      Julien_c'est_bien (y'a pas que Seb)

  • # Ils racontent n'importe quoi

    Posté par  . Évalué à 1.

    Les certificats des autorités racines sont une information publique disponible dans la quasi totalité des navigateurs du monde. C'est à la base même du fonctionnement des certificats. Prétendre qu'il faut les cacher n'a aucun sens.

    Le fait que ça ne soit pas évident pour toi montre qu'il te reste beaucoup à apprendre sur les certificats. Pour une introduction à ce sujet, tu peux lire la page de la doc d'Apache (il y a bien sûr des tas d'autres sources d'information).

    • [^] # Re: Ils racontent n'importe quoi

      Posté par  . Évalué à 1.

      Bonjour Bernez,

      Merci pour la réponse :-)

      J'ai pris finalement sur moi de créer mes .pkcs12 avec le certificat X509 au format .pem intégrant la chaîne complète de certification (après lecture de certains sites).

      Ça me paraissait logique et cohérent mais celui qui avait laissé cette consigne (mais a évolué dans une autre société) est quelqu'un de très calé techniquement; je ne me suis pas résolu à suivre cette consigne car je ne comprenais pas le but.

      Merci pour le lien, je vais aller y jeter un œil :-)

      Julien_c'est_bien (y'a pas que Seb)

  • # Certificat racine inutile mais pas gênant

    Posté par  (site web personnel) . Évalué à 4. Dernière modification le 24 mai 2019 à 10:48.

    Lorsqu'on installe un certificat sur un serveur, il est nécessaire d'installer également toute la chaîne de certificats intermédiaires jusqu'à la racine. Le certificat racine, en revanche, n'a pas besoin d'être installé, mais si on le fait, c'est inutile mais pas gênant.

    Voici la raison. Lorsqu'un client se connecte sur le serveur, celui-ci va lui envoyer son certificat et la chaîne de certification. Le client va ainsi pouvoir vérifier que le certificat du serveur est bien signé par un certificat, qui est signé par un autre certificat, et ainsi de suite avec un nombre quelconque de niveaux, jusqu'à finalement tomber sur un certificat qui a été signé par le certificat racine d'une autorité de certification qu'il connaît. Concernant ce certificat racine donc, deux possibilités :

    • si tout va bien, le client le connaît déjà, ce qui lui permet de finir la procédure de vérification et de valider la connexion : dans ce cas, si le serveur lui a fourni ce certificat racine, ça ne lui aura servi à rien, puisqu'il le connaissait déjà ;
    • dans le cas contraire, si le client ne connaît pas ce certificat racine, il s'agit d'un échec de validation de la connexion, le serveur utilisant un certificat qui n'a pas de chaîne de certification partant d'une racine connue : dans ce cas, si le serveur lui a fourni ce certificat racine, cela n'aura pas servi non plus, parce que cette racine est inconnue et sera donc refusée par le logiciel client.

    Concernant « la raison invoquée […] qu'il serait possible à un attaquant mal intentionné de récupérer le certificat racine », c'est n'importe quoi, et si celui qui a proféré ces absurdités a un boulot touchant de près ou de loin à la sécurité informatique, le principal danger pour votre entreprise est la présence de cet incompétent à un tel poste.

    Si un attaquant récupérait l'autorité de certification racine, qui pourrait il compromettre ? Seulement le serveur concerné ? L'ensemble des serveurs concernés ? Comment ferait il ?

    Rien, il ne pourrait rien compromettre à partir de cette information publique, que n'importe qui peut récupérer et qui a pour but de permettre la validation des connexions.

    • [^] # Re: Certificat racine inutile mais pas gênant

      Posté par  . Évalué à 1.

      Bonjour Tanguy,

      Merci pour la réponse :-)

      J'ai pris finalement sur moi de créer mes .pkcs12 avec le certificat X509 au format .pem intégrant la chaîne complète de certification (après lecture de certains sites).

      Pour la "raison invoquée", je dois dire que c'est une extrapolation née d'un "branstorming" avec des collègues qui s'y connaissent autant que moi en certificat, j'ai avancé cette idée et personne ne m'a contredit (certainement par politesse, alors que je cherchais peut-être cette contradiction).
      En gros personne n'y croyait mais des fois, il faut poser les questions comme on les perçoit, comprendre pourquoi la question n'a pas de sens permet de poser les bonnes questions et trouver les bonnes réponses.

      Julien_c'est_bien (y'a pas que Seb)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.