不完全な証明書チェーンに関連するリスクは何ですか
不完全な証明書チェーンに関連する実際のリスクは何ですか
証明書チェーンについて読みましたが、概念は理解しているようですが、潜在的なリスクを理解していないようです。たとえば、SSLLabsは、証明書チェーンが不完全であるにもかかわらず、不完全なチェーンの証明書を非常に高く評価しています(A )したがって、これはチェーンがそれほど重要ではないように見えることを意味しますが、私の理解ではチェーンはtrustの問題であり、非常に重要であるはずです。
完全な証明書チェーンがない場合、どのセキュリティループが影響する可能性がありますか?
更新:
今朝ソースを確認したところ、証明書チェーンの問題が解決されたことがわかりました。以前はそれは述べた:
提供される証明書2(2936バイト)
チェーンは不完全チェーンを発行します
しかし今朝それは言う:
提供される証明書3(4716バイト)
チェーンの問題なし
これは、私がこのことを会社に言ったためか、それは単にクラウドホスティングまたは他のサードパーティの問題の修正である可能性があります。
チェーン証明書がないこと自体は、セキュリティ上の問題ではありません。つまり、チェーン証明書がないため、攻撃者はこれらの証明書が存在するときに実行できなかった攻撃をマウントすることができません。ただし、チェーン証明書がないと、セキュリティに関連する問題を間接的に引き起こす可能性があります。
チェーン証明書がない場合、ピアが証明書を検証できないため、HTTPS接続の確立に失敗することがよくあります。いくつかのデスクトップブラウザーは、キャッシュされたチェーン証明書を使用するか、証明書をダウンロードすることによって、このような問題を回避しようとしますが、そのような動作は通常これらのブラウザーにのみ制限されます。他のほとんどのアプリケーションは接続に失敗します。ほとんどの場合、接続に失敗するのは面倒です。しかし、一部の環境では、このために重要なデータが交換されない場合、これは深刻な問題になる可能性があります。
また、一部の開発者は、証明書の検証を無効にすることにより、この種の問題を回避しようとします。残念ながら、stackoverflow.comには非常に多くの回答とコメントがあり、そのような場合は検証が無効になることを示唆しているため、これが引き起こすセキュリティの問題を指摘することはありません。これは、TLS接続が機能するという現在の問題を修正しているように見えますが、中間者攻撃も可能になり、セキュリティ上の大きな問題を引き起こします。