Sslmerge, Herramienta para construir una cadena de certificación SSL desde el Certificado Raíz hasta el Certificado de Usuario final

Share this…

Es una herramienta abierta al público auxiliar en la construcción de una cadena de certificación Secure Socket Layer (SSL) válida desde el certificado raíz hasta el certificado de usuario final. Especialistas en pruebas de penetración afirman que es igualmente útil para arreglar cadenas de certificación incompletas y para descargar certificaciones de autoridad faltantes.

¿Cómo se usa?

Es simple:

 img270602

Parámetros

Ofrece las siguientes opciones:

img270603

¿Cómo funciona?

Comencemos con la cadena de certificados ssllabs. Se entregan junto con el Sslmerge y se pueden encontrar en el directorio example / ssllabs.com que contiene además el directorio all (que contiene todos los certificados necesarios para ensamblar la cadena) y el directorio server_certificate (que contiene sólo el certificado del servidor).

El código anterior presenta una cadena completa que consiste en:

  • Certificado de identidad (Certificado de servidor)

emitido para ssllabs.com por Entrust Certification Authority – L1K

  • Certificado Intermedio

emitido por Entrust Certification Authority – L1K por Entrust Root Certification Authority – G2

  • Certificado Intermedio

emitido para Entrust Root Certification Authority – G2 por Entrust Root Certification Authority

  • Certificado de raíz (Certificado autofirmado)

emitido para Entrust Root Certification Authority por Entrust Root Certification Authority

Escenario 1

En este escenario, encadenaremos todos los certificados entregados. Ejemplo de ejecución de la herramienta:

img270604

Escenario 2

En este escenario sólo se usa el certificado del servidor para recuperar los certificados requeridos restantes. Luego, como se indicó anteriormente, combinaremos todos los certificados proporcionados. Ejemplo de ejecución de la herramienta:

img270605

Cadena de certificación

Para crear una cadena válida, debe proporcionar a la herramienta todos los certificados necesarios. Será:

  • Certificado de servidor
  • CA intermedias y CA raíz

Esto es muy importante, señalan especialistas en pruebas de penetración del Instituto Internacional de Seguridad Informática, porque sin esto no podrá determinar el comienzo y el final de la cadena. Sin embargo, si mira dentro de la cadena generada después de generarla con Sslmerge, no encontrará allí el certificado raíz. ¿Por qué? Porque los certificados raíz autofirmados no necesitan / no deben incluirse en la configuración del servidor web. No sirven para nada (los clientes siempre los ignorarán) e incurren en una leve penalización de rendimiento (latencia) porque aumentan el tamaño del protocolo de intercambio de SSL.

Rutas de certificación

Sslmerge permite el uso de dos rutas de certificación:

img270607

Comentarios de salida

Al generar la cadena de certificados, Sslmerge muestra comentarios con información sobre certificados, incluido cualquier error. Aquí hay una lista de las posibilidades:

  • Certificado de identidad no encontrada (usuario final, servidor)

El mensaje se muestra en ausencia de un certificado de servidor que sea el comienzo de la cadena. Este es un caso único porque en esta situación el Sslmerge termina su operación mostrando solo esta información. El certificado del servidor es el único certificado requerido para crear correctamente una cadena. Sin este certificado, no se creará la cadena correcta.

  • Certificado de identidad correcta (usuario final, servidor)

La situación inversa a la anterior. Aquí, el mensaje que se muestra cuando se encuentra un certificado de servidor válido.

  • No se encuentra el primer certificado intermedio

Este mensaje aparece cuando no se encuentra el primero de los dos certificados intermedios. Esta información no especifica la ausencia de un segundo certificado intermedio y, por otro lado, permite determinar si el certificado intermedio al que se firmó el certificado del servidor existe.

  • No se encuentra el segundo certificado intermedio

Similar a lo anterior, sin embargo, se trata del segundo certificado intermedio. Sin embargo, es posible crear la cadena correctamente utilizando la segunda ruta de certificación, p. utilizando el primer certificado intermedio y reemplazando el segundo con el certificado principal.

  • Uno o más certificados intermedios no encontrados

Este mensaje significa que uno o todos los certificados intermedios necesarios faltan y se muestran en ausencia del certificado raíz.

  • Encontrar y corregir certificados intermedios

Este mensaje indica la cantidad de certificados intermedios válidos.

  • No se encuentra el certificado raíz correcto

La falta del certificado raíz se trata como una advertencia. Por supuesto, al configurar certificados en el lado del servidor, no se recomienda adjuntar un certificado raíz, pero si lo crea con Sslmerge, trata la cadena como incompleta mostrando información sobre la creación incorrecta de la cadena.

Requerimientos

Sslmerge requiere herramientas externas para instalarlas antes de ser ejecutado.

Encuentra Sslmerge aquí