Come funzionano le catene SSL?

37

Perché sono richieste le autorità di certificazione intermedie? Quando verrà utilizzato un certificato intermedio? Come posso verificare la catena dal certificato intermedio al certificato radice? Quali sono esempi di certificati intermedi che si collegano ai certificati radice?

ssl 
PeanutsMonkey
fonte
6
Gradirei almeno le persone che commentano prima di votare per chiudere la domanda. Non ho idea del motivo per cui vorresti chiuderlo, ad esempio è un duplicato, non ha senso, ecc.
PeanutsMonkey,
11
@ Linker3000 - La domanda non è a tempo indeterminato in quanto vi è chiaramente una risposta né è loquace, cioè non è destinata a suscitare una conversazione. È capire come funzionano le catene SSL in modo che se si presenta la necessità durante l'implementazione dei certificati SSL, ciò può essere fatto con una comprensione delle basi delle catene SSL.
PeanutsMonkey,

Risposte:

48

Perché sono richieste le autorità di certificazione intermedie? Quando verrà utilizzato un certificato intermedio?

A volte, per proteggere la chiave privata della CA principale, viene archiviata in una posizione molto sicura e utilizzata solo per firmare alcuni certificati intermedi, che vengono quindi utilizzati per emettere certificati delle entità finali. In caso di compromesso, gli intermedi possono essere revocati rapidamente, senza dover riconfigurare ogni singolo computer per fidarsi di una nuova CA.

Un'altra possibile ragione è la delega: ad esempio, aziende come Google, che spesso usano molti certificati per le proprie reti, avranno una propria CA intermedia.

Come posso verificare la catena dal certificato intermedio al certificato radice?

Di solito, l'entità finale (ad esempio un server Web SSL / TLS) ti fornisce l'intera catena di certificati e tutto ciò che devi fare è verificare le firme.

L'ultimo di quella catena è il certificato radice, che hai già contrassegnato come attendibile.

Ad esempio, quando hai una catena [utente] → [intermed-1] → [intermed-2] → [root] , la verifica è così:

  1. Non [utente] ha [intermed-1] come il suo "Emittente"?

  2. Non [utente] ha una firma valida dal [intermed-1] chiave 's?

  3. Non [intermed-1] hanno [intermed-2] come il suo "Emittente"?

  4. Non [intermed-1] ha una firma valida dal [intermed-2] chiave 's?

  5. Non [intermed-2] hanno [root] come il suo "Emittente"?

  6. Non [intermed-2] ha una firma valida dal [root] chiave 's?

  7. Poiché [root] è nella parte inferiore della catena e ha se stesso come "Emittente", è contrassegnato come attendibile?

Il processo è sempre lo stesso; l'esistenza e il conteggio delle CA intermedie non contano. Il certificato utente può essere firmato direttamente da root e verrà verificato allo stesso modo.

Quali sono esempi di certificati intermedi che si collegano ai certificati radice?

Vedere le informazioni sul certificato di https://twitter.com/ o https://www.facebook.com/ per le catene contenenti tre o quattro certificati. Vedi anche https://www.google.com/ per un esempio dell'autorità di certificazione di Google.

grawity
fonte
Grazie. Quando si dice delegazione, in che modo può essere utile disporre dei propri certificati intermedi? Significa anche che è stato firmato da un'altra autorità di certificazione radice attendibile? Ho dato un'occhiata al certificato di Google ma non ho visto la catena. Puoi caricare un'immagine di cosa intendi?
PeanutsMonkey,
Non sono firmati da un'altra autorità di certificazione radice attendibile, sono firmati dalla loro autorità di certificazione radice attendibile. Le CA tipiche hanno diversi sistemi in grado di firmare i certificati. Se tutti usassero effettivamente la chiave di root, un compromesso per un sistema distruggerebbe l'intera CA e renderebbe tutti i loro certificati non affidabili.
David Schwartz,
1
@David Schwartz - Grazie. Quindi nel caso di Google, ad esempio, la loro autorità di certificazione radice è Equifax che ha fornito loro la possibilità di creare certificati intermedi. È giusto?
PeanutsMonkey,
4
È corretto. Molto probabilmente, Equifax possiede la chiave necessaria per firmare i certificati emessi da quella CA intermedia, ma Google ha un'interfaccia per consentire loro di firmare i certificati senza l'intervento umano da parte di Equifax. Se Google abusa del privilegio, Equifax può utilizzare la propria autorità principale per revocare l'autorità CA intermedia di Google.
David Schwartz,
Usa whatsmychaincert.com per aiutarti a rilevare il problema e generare i certificati di catena corretti.
Ethan Allen,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.