Chuỗi SSL hoạt động như thế nào?

37

Tại sao các cơ quan cấp chứng chỉ trung gian bắt buộc? Khi nào một chứng chỉ trung gian sẽ được sử dụng? Làm cách nào để xác minh chuỗi từ chứng chỉ trung gian đến chứng chỉ gốc? Ví dụ về chứng chỉ trung gian liên kết đến chứng chỉ gốc là gì?

ssl 
Đậu phộngMonkey
nguồn
6
Sẽ đánh giá cao những người bình luận ít nhất trước khi bỏ phiếu để đóng câu hỏi. Tôi không biết tại sao bạn lại muốn đóng nó, ví dụ như nó là một bản sao, không có ý nghĩa gì, v.v.
PeanutsMonkey
11
@ Linker3000 - Câu hỏi không phải là kết thúc mở vì rõ ràng có một câu trả lời cũng không phải là trò chuyện tức là nó không có ý định khuấy động một cuộc trò chuyện. Đó là để hiểu làm thế nào các chuỗi SSL hoạt động để nếu có nhu cầu khi thực hiện chứng chỉ SSL, nó có thể được thực hiện với sự hiểu biết về nền tảng của chuỗi SSL.
PeanutsMonkey

Câu trả lời:

48

Tại sao các cơ quan cấp chứng chỉ trung gian bắt buộc? Khi nào một chứng chỉ trung gian sẽ được sử dụng?

Đôi khi, để bảo vệ khóa riêng của CA gốc, nó được lưu trữ ở một vị trí rất an toàn và chỉ được sử dụng để ký một vài chứng chỉ trung gian, sau đó được sử dụng để cấp chứng chỉ thực thể cuối. Trong trường hợp thỏa hiệp, các trung gian có thể bị thu hồi nhanh chóng, mà không phải cấu hình lại mọi máy đơn lẻ để tin tưởng một CA mới.

Một lý do khác có thể là sự ủy quyền: ví dụ: các công ty như Google, thường sử dụng nhiều chứng chỉ cho các mạng riêng của họ, sẽ có một CA trung gian của riêng họ.

Làm cách nào để xác minh chuỗi từ chứng chỉ trung gian đến chứng chỉ gốc?

Thông thường, thực thể cuối (ví dụ: máy chủ web SSL / TLS) cung cấp cho bạn toàn bộ chuỗi chứng chỉ và tất cả những gì bạn phải làm là xác minh chữ ký.

Chứng chỉ cuối cùng trong chuỗi đó là chứng chỉ gốc mà bạn đã đánh dấu là đáng tin cậy.

Ví dụ: khi bạn có một chuỗi [người dùng] → [trung gian 1] → [trung gian 2] → [gốc] , việc xác minh là như sau:

  1. [ Người dùng][trung gian 1] là "Nhà phát hành" không?

  2. [ Người dùng] có chữ ký hợp lệ bằng khóa của [trung gian 1] không?

  3. Liệu [Intermed-1][Intermed-2] như là "nhà phát hành"?

  4. Liệu [Intermed-1] có một chữ ký hợp lệ bởi [Intermed-2] 's quan trọng?

  5. Liệu [Intermed-2][root] như là "nhà phát hành"?

  6. Liệu [Intermed-2] có một chữ ký hợp lệ bởi [Root] 's quan trọng?

  7. [root] nằm ở cuối chuỗi và có tên là "Nhà phát hành", nên nó được đánh dấu là đáng tin cậy?

Quá trình này hoàn toàn giống nhau mọi lúc; sự tồn tại và số lượng CA trung gian không thành vấn đề. Chứng chỉ người dùng có thể được ký trực tiếp bằng root và nó sẽ được xác minh theo cách tương tự.

Ví dụ về chứng chỉ trung gian liên kết đến chứng chỉ gốc là gì?

Xem thông tin chứng chỉ của https://twitter.com/ hoặc https://www.facebook.com/ để biết chuỗi chứa ba hoặc bốn chứng chỉ. Xem thêm https://www.google.com/ để biết ví dụ về cơ quan chứng nhận của chính Google.

sự tham lam
nguồn
Cảm ơn. Khi bạn nói ủy quyền, làm thế nào để có chứng chỉ trung gian của riêng họ? Có phải nó cũng có nghĩa là nó đã được ký bởi một cơ quan chứng nhận gốc đáng tin cậy khác? Tôi đã xem chứng chỉ của Google nhưng không thấy chuỗi. Bạn có thể vui lòng tải lên một hình ảnh của những gì bạn có ý nghĩa?
PeanutsMonkey
Chúng không được ký bởi một cơ quan chứng nhận gốc đáng tin cậy khác, chúng được ký bởi cơ quan chứng nhận gốc đáng tin cậy của chúng. Các CA điển hình có một số hệ thống khác nhau có thể ký chứng chỉ. Nếu tất cả họ thực sự sử dụng khóa gốc, một thỏa hiệp với một hệ thống sẽ phá hủy toàn bộ CA và khiến tất cả các chứng chỉ của họ không đáng tin cậy.
David Schwartz
1
@David Schwartz - Cảm ơn. Vì vậy, trong trường hợp của Google là một ví dụ, cơ quan cấp chứng chỉ gốc của họ là Equachus đã cung cấp cho họ khả năng tạo chứng chỉ trung gian. Có đúng không?
PeanutsMonkey
4
Đúng rồi. Rất có thể, Equachus giữ chìa khóa cần thiết để ký chứng chỉ do CA trung gian đó cấp, nhưng Google có giao diện cho phép họ ký chứng chỉ mà không cần sự can thiệp của con người vào phần của Equ. Nếu Google từng lạm dụng đặc quyền, Equachus có thể sử dụng quyền hạn gốc của họ để thu hồi quyền CA trung gian của Google.
David Schwartz
Sử dụng whatsmychaincert.com để giúp bạn phát hiện vấn đề và tạo chứng chỉ chuỗi chính xác của bạn.
Ethan Allen
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.