Почему клиент и сервер должны иметь одинаковую цепочку сертификатов?

Question

Я прохожу код корпоративного приложения.Он имеет взаимную аутентификацию между клиентом и сервером на основе сертификатов.

Он требует, чтобы клиент и сервер имели одинаковую цепочку сертификатов, как корневого, так и промежуточного ЦС.

Какую выгоду для безопасности это дает?

Разве этого недостаточно, если мы предписываем, что корневому сертификату нужно доверять на машине?

Спасибо, Vivekanand

Answer 1

Это требует, чтобы клиент и сервер имели одинаковую цепочку сертификатов

Нет, это не так. Откуда у вас эта идея? Одноранговые узлы должны иметь достаточно цепочки сертификатов других, чтобы проверить их, но их собственные сертификаты не обязательно должны быть из той же цепочки, что и одноранговый.

Answer 2

Если оба сертификата подписаны корнем ca, и вы доверяете корню ca, то это не так.

Однако, если какой-либо из них подписан промежуточным CA, вам нужно будет доверять промежуточному CA в дополнение к корневому CA.

В вашем примере вы упомянули только две точки обмена (сервер / клиент). На предприятии сервер может взаимодействовать с несколькими другими серверами, некоторые из которых могут быть подписаны промежуточным ок. Это может объяснить причину доверия к промежуточному сертификату.

Википедия дает довольно хороший пример того, как работает цепочка. http://en.wikipedia.org/wiki/Intermediate_certificate_authorities