Outre la vérification du certificat de l’autorité de certification racine, AsyncOS prend en charge la vérification des certificats
intermédiaires. Les certificats intermédiaires sont des certificats émis par une autorité de certification racine approuvée
qui sont ensuite utilisés pour créer des certificats supplémentaires. Cela crée une ligne de confiance en chaîne. Par exemple,
un certificat peut être émis par le site exemple.com qui, à son tour, se voit accorder les droits d’émettre des certificats
par une autorité de certification racine approuvée. Le certificat émis par le site exemple.com doit être validé par rapport
à la clé privée du site exemple.com ainsi que par rapport à la clé privée de l’autorité de certification racine approuvée.
Les serveurs envoient une « chaîne de certificats » dans une liaison SSL pour que les clients (par exemple, les navigateurs
et, dans ce cas, le Secure Web Appliance, qui est un proxy HTTPS) authentifient le serveur. Normalement, le certificat du serveur est signé par un certificat intermédiaire
qui, à son tour, est signé par un certificat racine approuvé et, pendant la liaison, le certificat du serveur et la chaîne
complète de certificats sont présentés au client. Comme le certificat racine est généralement présent dans le magasin de certificats
approuvés de Secure Web Appliance, la chaîne de certificats est vérifiée avec succès.
Cependant, il peut parfois arriver, lorsque le certificat de l’entité terminale est modifié sur le serveur, que les mises
à jour nécessaires pour la nouvelle chaîne ne soient pas effectuées. Par conséquent, à partir de maintenant, le serveur présente
uniquement le certificat de serveur lors de l’établissement de la liaison SSL et le proxy Secure Web Appliance ne peut pas vérifier la chaîne de certificats, car le certificat intermédiaire est manquant.
Auparavant, la solution consistait en l’intervention manuelle de l’administrateur Secure Web Appliance, qui téléchargeait le certificat intermédiaire nécessaire dans le magasin de certificats approuvés. Vous pouvez désormais
utiliser la commande d’interface de ligne de commande advancedproxyconfig > HTTPS > Do you want to enable automatic discovery and download of missing Intermediate Certificates?
(advancedproxyconfig > HTTPS > Voulez-vous activer la découverte et le téléchargement automatiques des certificats intermédiaires
manquants?) pour activer la « découverte de certificats intermédiaires », un processus que Secure Web Appliance utilise afin d’éliminer l’étape manuelle dans ces situations.
La découverte de certificats intermédiaires utilise une méthode appelée « analyse AIA » : lorsqu’un certificat non fiable
se présente, l’appliance Secure Web Appliance l’examine pour détecter une extension nommée « Authority Information Access ». Cette extension comprend un champ facultatif
URI pour les émetteurs de l’autorité de certification, qui peuvent être interrogés pour le certificat de l’émetteur utilisé
pour signer le certificat du serveur en question. Si le certificat de l’émetteur est disponible, Secure Web Appliance le récupère de manière récursive jusqu’à ce que le certificat de l’autorité de certification racine soit obtenu, puis tente
à nouveau de vérifier la chaîne.