Технология AIA Fetching для восстановления цепочки сертификатов | LeaderSSL

Поддержка LeaderSSL оффлайн. Режим работы: пн. - пт. с 9:00 до 19:00 (по московскому времени) без перерыва на обед.

Обработка заказов и выпуск сертификатов - круглосуточно.

Технология AIA Fetching для восстановления цепочки сертификатов

AIA – специальное расширение в SSL-сертификатах, которое содержит данные об издателе сертификата. С помощью данного расширения можно получить промежуточные сертификаты удостоверяющего центра. Если сервер не предоставляет их, они могут быть скачаны по ссылке, содержащейся в поле AIA. Это позволяет сохранить цепочку сертификатов и выполнить проверку SSL-сертификата даже в том случае, если сервер был неверно сконфигурирован. Если пользовательский клиент поддерживает AIA Fetching, то пользователь даже не узнает об ошибках настроек на сервере.

В данный момент технологию поддерживают такие браузеры, как Google Chrome, Internet Explorer и Safari. Однако технология восстановления цепочки сертификатов AIA нередко подвергается критике, поскольку она поощряет неверное конфигурирование серверов. Все будет работать в должном виде, даже если на сервере не установлены промежуточные сертификаты. Преимуществом такого подхода является удобство для пользователей. Сегодня далеко не все клиенты поддерживают технологию AIA Fetching. К примеру, она до сих пор не реализована в Firefox.

Реализация AIA Fetching в Mozilla Firefox

Разработчики браузера Firefox пока не торопятся с внедрением восстановления цепи сертификатов AIA. Как показало исследование, проведенное специалистами из Mozilla, общий процент ошибок SEC_ERROR_UNKNOWN_ISSUER в случае с применением технологии AIA Fetching пока остается достаточно высоким.

Исследование проводилось на основании отчета об ошибках TLS Error Reports, который учитывал отклики пользователей, столкнувшихся с проблемой Secure Connection Failed и уведомивших об этом разработчиков браузера (с помощью специальной галочки на странице ошибки).

При включенном AIA Fetching общий процент ошибок с неизвестным издателем сертификата сократился примерно на 6%.

Однако разработчики Firefox пока не готовы внедрять AIA Fetching, считая, что неверная настройка SSL-сертификата на сервере равносильна отсутствию какой-либо защиты, что ставит под удар ценные пользовательские данные.