Недоверие сертификату let`s encrypt?

Question

[Данил Тунев]

До этого времени думал что cert.pem и privkey.pem единственные файлы для установки пока не посмотрел сайт на мобильных и малоизвестных браузерах, они просто не доверяют сертификату, Вот и думается что остальные два файла, загружаемые при получении сертификата через certboot организуют "путь" доверия по которому можно проверить подлинность сертификата браузером? поправте если ошибаюсь!

Answer 1

[Максим Гришин]

Сайт (TLS-сервер в общем случае) должен сам предоставлять полную цепь сертификатов, подтверждающих его собственный, исключая сертификат корневого ЦС, который в нормальном состоянии находится в хранилище доверенных на клиенте. Так что да, нужно отдавать помимо cert.pem ещё и fullchain.pem. Причина в том, что клиент в норме не должен знать обо всей инфраструктуре PKI каждого ЦС, чей корневой сертификат он хранит, так как она в общем случае динамическая, и подчиненные сертификаты все равно перевыпускаются раз в 1-5 лет (LE с его трехмесячными сертификатами может и менять subCA раз в год), поэтому клиенту негде взять всю цепь сертификатов. Поэтому самое логичное решение - хранить её на сервере, так как он тоже должен знать, кто ему серт подписал, и с сервера же раздавать по мере необходимости.

Comments

[Данил Тунев]

Ответь пожалуйста на небольшой вопрос: а что если мой сервер хочет проверить браузер где он достанет корневой сертификат, они есть в свободном доступе? Или надо где то региться?

[Максим Гришин]

Корневые сертификаты чаще всего вшиты в браузер или ОС, но достать их тоже можно, обычно каждый ЦС отдает корневой сертификат довольно легко. Адрес, по которому должен быть доступен корневой сертификат, цепью от которого подписан ваш сертификат, можно достать рекурсивно через расширение AIA - там прямая ссылка на вышестоящий сертификат, в нем такая же на серт ещё выше уровнем и так далее до корневого.

Answer 2

[Denis]

Часто нужно прописать промежуточные сертификаты ЦС, тогда мобильные устройства не будут выкидывать варнинг

Answer 3

[CityCat4]

cert.pem и privkey.pem единственные файлы

Они не только не единственные, но даже и называться могу совершенно произвольно :) Кроме файлов ключа и сертификата ключа всегда есть файл корневого сертификата издателя, либо цепочка сертификатов издателя, ведущая к его корневому сертификату. Этот корневой сертификат хранится в специальном хранилище, называемом хранилищем доверенных корневых сертификатов. Система автоматически доверяет любому сертификату, если она способна проследить издателя до сертификата, находяещгося в хранилище корневых сертификатов. Вопрос в том, откуда браузер берет информацию о корневых сертификатах :)
Ишак, Опера, Хром, ЯБ - используют системное хранилище винды
FF имеет свое хранилище
Чтобы решить вопрос с доверенностью сертификата от LE (как и любого другого) - нужно знать, откуда он берет данные о корневых сертификатах и, в случае необходимости, добавить их туда

Comments

[Данил Тунев]

Допустим, не нравиться мне обновление операционной системы, откуда будут браться свежие корневые сертификаты? Они обновляются какой то службой?

[CityCat4]

Данил Тунев, винда обновляет через свой стандартный механизм. FF - с обновлением браузера, линух - как правило, с обновлением пакетов например ca-certificates