Una autoridad de certificación firma los certificados digitales. A menudo, las empresas pagan a una CA de confianza internacional, como VeriSign o DigiCert, para que firme certificados en su propio dominio.
En algunos casos puede tener más sentido actuar como su propia CA, en lugar de pagar a una CA como DigiCert. Su universidad está haciendo exactamente eso, es decir, utilizando su propia autoridad de certificación.
Lo primero que hay que entender es que la CA root que has instalado no es una clave privada, sino una clave pública. Echa un vistazo a tus certificados en el navegador que estés utilizando y mira en la pestaña de autoridades, verás un montón de Root CA como VeriSign.
Digamos que su universidad tiene una página web informativa university.edu. Sin la instalación de la CA root en su dispositivo, si usted fuera a la página web, vería un error que le advertiría que el sitio no es de confianza. Después de instalar la CA root, el sitio se mostrará como seguro ya que está verificando que es válido utilizando la clave pública de su dispositivo. El servidor web de unversity.edu tendrá una clave privada que se correlaciona con la clave pública que tienes. Así que cuando accedes a la página web se verifica que es un sitio válido.
En esencia, tener la CA root no es un problema. La única clave que podría causar problemas importantes si se compromete es la clave privada de la CA root. Normalmente, las CA se configuran con una CA root y una CA intermedia. La clave root se mantiene fuera de línea para que no pueda ser comprometida. De este modo, si la clave privada utilizada para firmar las solicitudes de certificados en la CA intermedia se ve comprometida, se generaría una nueva clave privada utilizando la clave privada de root. Esto requeriría volver a emitir claves a todos los servidores que se verifiquen, pero protege el entorno.
Espero que esto ayude.
Consulte esta documentación sobre la configuración de una autoridad de certificación para conocer con más detalle el funcionamiento de una autoridad de certificación.
https://jamielinux.com/docs/openssl-certificate-authority/introduction.html
1 votos
Tengo una curiosidad: echa un vistazo a la cadena de certificación de algo tan sencillo como Google.com. Si la suya es muy diferente de la mía, me preocuparía: imgur.com/a/s7pLV
0 votos
Oh, una advertencia, si su cadena de CA se parece a la mía, no significa que todo esté bien, pero aquí es donde yo miraría primero. Si es diferente, esperaría ver algo como Bluecoat, indicando un proxy man-in-the-middle.