Jak działają łańcuchy SSL?

37

Dlaczego wymagane są pośrednie urzędy certyfikacji? Kiedy zastosować certyfikat pośredni? Jak zweryfikować łańcuch od certyfikatu pośredniego do certyfikatu głównego? Jakie są przykłady certyfikatów pośrednich, które prowadzą do certyfikatów głównych?

ssl PeanutsMonkey
źródło
6
Byłbym wdzięczny za komentarze ludzi przynajmniej przed głosowaniem w celu zamknięcia pytania. Nie mam pojęcia, dlaczego chcesz to zamknąć, np. Czy jest to duplikat, nie ma sensu itp.
PeanutsMonkey
11
@ Linker3000 - Pytanie nie ma charakteru otwartego, ponieważ odpowiedź jest jednoznaczna, nie jest też gadatliwa, tzn. Nie ma na celu wywołania rozmowy. Ma to na celu zrozumienie działania łańcuchów SSL, aby w razie potrzeby podczas wdrażania certyfikatów SSL można to zrobić, rozumiejąc podstawy łańcuchów SSL.
PeanutsMonkey

Odpowiedzi:

48

Dlaczego wymagane są pośrednie urzędy certyfikacji? Kiedy zastosować certyfikat pośredni?

Czasami, aby chronić klucz prywatny głównego urzędu certyfikacji, jest on przechowywany w bardzo bezpiecznej lokalizacji i służy jedynie do podpisywania kilku certyfikatów pośrednich, które są następnie wykorzystywane do wydawania certyfikatów jednostek końcowych. W przypadku kompromisu produkty pośrednie można szybko odwołać bez konieczności ponownej konfiguracji każdej maszyny, aby zaufać nowemu urzędowi certyfikacji.

Innym możliwym powodem jest delegowanie uprawnień: na przykład takie firmy jak Google, które często używają wielu certyfikatów dla własnych sieci, będą miały własne pośrednie urzędy certyfikacji.

Jak zweryfikować łańcuch od certyfikatu pośredniego do certyfikatu głównego?

Zwykle jednostka końcowa (na przykład serwer WWW SSL / TLS) zapewnia cały łańcuch certyfikatów, a wszystko, co musisz zrobić, to zweryfikować podpisy.

Ostatnim w tym łańcuchu jest certyfikat główny, który już oznaczyłeś jako zaufany.

Na przykład, jeśli masz łańcuch [użytkownik] → [pośrednik-1] → [pośrednik-2] → [root] , weryfikacja wygląda następująco:

  1. Czy [użytkownik] ma [pośrednika-1] jako „Wystawcę”?

  2. Czy [użytkownik] ma ważny podpis przy użyciu klucza [pośrednika-1] ?

  3. Czy [intermed-1] ma [intermed-2] jako „emitenta”?

  4. Czy [intermed-1] ma ważny podpis przy pomocy klucza [intermed-2] ?

  5. Czy [intermed-2] ma [root] jako „Emitenta”?

  6. Czy [intermed-2] ma prawidłowy podpis przy użyciu klucza [root] ?

  7. Skoro [root] znajduje się na dole łańcucha i ma swoją nazwę „Emitent”, czy jest oznaczony jako zaufany?

Cały proces jest dokładnie taki sam; istnienie i liczba pośrednich urzędów certyfikacji nie ma znaczenia. Certyfikat użytkownika może być podpisany bezpośrednio przez użytkownika root i zostanie zweryfikowany w ten sam sposób.

Jakie są przykłady certyfikatów pośrednich, które prowadzą do certyfikatów głównych?

Zobacz informacje o certyfikacie https://twitter.com/ lub https://www.facebook.com/ dla łańcuchów zawierających trzy lub cztery certyfikaty. Zobacz także https://www.google.com/ przykład własnego urzędu certyfikacji Google.

grawitacja
źródło
Dzięki. Kiedy mówisz o delegowaniu, w jaki sposób pomaga to w posiadaniu własnych certyfikatów pośrednich? Czy oznacza to również, że został podpisany przez inny zaufany główny urząd certyfikacji? Spojrzałem na certyfikat Google, jednak nie widziałem łańcucha. Czy możesz przesłać obraz tego, co masz na myśli?
PeanutsMonkey
Nie są podpisane przez inny zaufany główny urząd certyfikacji, są podpisane przez zaufany główny urząd certyfikacji. Typowe urzędy certyfikacji mają kilka różnych systemów, które mogą podpisywać certyfikaty. Jeśli wszyscy faktycznie użyliby klucza głównego, kompromis z jednym systemem zniszczyłby cały urząd certyfikacji i uniemożliwiłby wiarygodność wszystkich ich certyfikatów.
David Schwartz
1
@David Schwartz - Dzięki. Na przykład w przypadku Google ich głównym urzędem certyfikacji jest Equifax, który zapewnił im możliwość tworzenia certyfikatów pośrednich. Czy to prawda?
PeanutsMonkey
4
To jest poprawne. Najprawdopodobniej Equifax posiada klucz potrzebny do podpisania certyfikatów wydanych przez ten pośredni urząd certyfikacji, ale Google ma interfejs umożliwiający podpisywanie certyfikatów bez interwencji człowieka ze strony Equifax. Jeśli Google kiedykolwiek nadużyje tego uprawnienia, Equifax może użyć swoich uprawnień administratora do odwołania uprawnień pośredniego urzędu certyfikacji Google.
David Schwartz
Skorzystaj z whatsmychaincert.com, aby pomóc Ci wykryć problem i wygenerować prawidłowe certyfikaty łańcucha.
Ethan Allen,