Як працюють ланцюги SSL?


37

Чому потрібні органи проміжних сертифікатів? Коли буде використаний проміжний сертифікат? Як я можу перевірити ланцюжок від проміжного сертифіката до кореневого сертифіката? Які приклади проміжних сертифікатів посилаються на кореневі сертифікати?


6
Буду вдячний, що люди коментують хоча б перед голосуванням, щоб закрити питання. Я поняття не маю, чому ви хочете закрити його, наприклад, це дублікат, не має сенсу тощо
PeanutsMonkey

11
@ Linker3000 - Питання не є відкритим, оскільки чітко є відповідь, а також не балаканий, тобто він не призначений для розмови. Потрібно зрозуміти, як працюють ланцюги SSL, так що якщо виникає потреба при впровадженні сертифікатів SSL, це можна зробити з розумінням основ ланцюгів SSL.
PeanutsMonkey

Відповіді:


48

Чому потрібні органи проміжних сертифікатів? Коли буде використаний проміжний сертифікат?

Іноді для захисту приватного ключа кореневого CA він зберігається в дуже захищеному місці і використовується лише для підписання декількох проміжних сертифікатів, які потім використовуються для видачі кінцевих сертифікатів юридичної особи. У разі компромісу проміжні продукти можуть бути відкликані швидко, без необхідності перенастроювати кожну машину для довіри до нового CA.

Інша можлива причина - делегування: наприклад, такі компанії, як Google, які часто використовують багато сертифікатів для власних мереж, матимуть власний проміжний CA.

Як я можу перевірити ланцюжок від проміжного сертифіката до кореневого сертифіката?

Зазвичай кінцева сутність (наприклад, веб-сервер SSL / TLS) надає вам весь ланцюжок сертифікатів, і все, що вам потрібно зробити, це перевірити підписи.

Останнім у цьому ланцюжку є кореневий сертифікат, який ви вже позначили як довірений.

Наприклад, коли у вас є ланцюг [user] → [intermed-1] → [intermed-2] → [root] , перевірка виглядає так:

  1. Чи [користувач] є [intermed-1] своїм "Емітентом"?

  2. Чи має [користувач] дійсний підпис ключем [intermed-1] ?

  3. Чи [intermed-1] є [intermed-2] своїм "Емітентом"?

  4. Чи має [intermed-1] дійсний підпис ключем [intermed-2] ?

  5. Чи [intermed-2] має [root] своїм "Емітентом"?

  6. Чи має [intermed-2] дійсний підпис ключем [root] ?

  7. Оскільки [root] знаходиться внизу ланцюга і має себе як "Емітент", чи позначений він як довірений?

Процес весь час однаковий; існування та кількість проміжних СА не мають значення. Сертифікат користувача можна підписати коренем безпосередньо, і він буде перевірений так само.

Які приклади проміжних сертифікатів посилаються на кореневі сертифікати?

Дивіться інформацію про сертифікати https://twitter.com/ або https://www.facebook.com/ для ланцюгів, що містять три-чотири сертифікати. Дивіться також https://www.google.com/ для прикладу власного сертифікаційного органу Google.


Спасибі. Коли ви кажете делегацію, як це допомагає мати власні проміжні сертифікати? Чи це також означає, що він був підписаний іншим довіреним органом сертифікації root? Я подивився сертифікат Google, але ланцюга не побачив. Чи можете ви, будь ласка, завантажити зображення, що маєте на увазі?
PeanutsMonkey

Вони не підписані іншим довіреним авторитетом кореневих сертифікатів, вони підписані довіреним авторитетом кореневого сертифіката. У типових ЦО є кілька різних систем, які можуть підписувати сертифікати. Якщо всі вони фактично використали кореневий ключ, компроміс до однієї системи знищив би всю ЦА і зробив би всі їх сертифікати недостовірними.
Девід Шварц

1
@David Schwartz - Дякую Так, у випадку Google, наприклад, їх кореневим сертифікатом є Equifax, який надав їм можливість створювати проміжні сертифікати. Це так?
PeanutsMonkey

4
Це правильно. Швидше за все, Equifax тримає ключ, необхідний для підписання сертифікатів, виданих цим проміжним центром, але Google має інтерфейс, який дозволяє їм підписувати сертифікати без втручання людини з боку Equifax. Якщо Google коли-небудь зловживає привілеєм, Equifax може використовувати їх кореневі повноваження, щоб відкликати проміжні повноваження Google від Google.
Девід Шварц

Використовуйте whatsmychaincert.com, щоб допомогти вам виявити проблему та генерувати правильні сертифікати ланцюга.
Етан Аллен
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.