SSL zincirleri nasıl çalışır?

37

Ara sertifika yetkilileri neden gerekli? Bir ara sertifika ne zaman kullanılır? Zinciri ara sertifikadan kök sertifikaya nasıl doğrularım? Kök sertifikalara bağlanan ara sertifika örnekleri nelerdir?

ssl 
PeanutsMonkey
kaynak
6
Soruyu kapatmak için en az oy vermeden önce yorum yapan kişilere teşekkür eder. Neden kapatmak isteyeceğinize dair hiçbir fikrim yok, mesela bir kopya mı, bir anlam ifade etmiyor mu, vb.
PeanutsMonkey
11
@ Linker3000 - Açıkça cevaplandırılmadığından açık bir cevap yok, ne de konuşkan olduğu, yani bir konuşmayı karıştırmaya yönelik olmadığı için. SSL zincirlerinin nasıl çalıştığını anlamak, böylece SSL sertifikalarını uygularken ihtiyaç duyulursa, SSL zincirlerinin temellerini anlayabilmek için yapılabilir.
FıstıkMonkey

Yanıtlar:

48

Ara sertifika yetkilileri neden gerekli? Bir ara sertifika ne zaman kullanılır?

Bazen, kök CA'nın özel anahtarını korumak için, çok güvenli bir yerde saklanır ve yalnızca son varlık sertifikaları vermek için kullanılan birkaç ara sertifikayı imzalamak için kullanılır. Uzlaşma durumunda, ara ürünler hızlı bir şekilde iptal edilebilir, her bir makineyi yeni bir CA'ya güvenmek için yeniden yapılandırmak zorunda kalmadan.

Bir başka olası sebep de delegasyondur: örneğin, kendi ağları için çoğu kez sertifika kullanan Google gibi şirketler kendi aralarında bir CA’ya sahip olacaklardır.

Zinciri ara sertifikadan kök sertifikaya nasıl doğrularım?

Genellikle, son varlık (örneğin, bir SSL / TLS web sunucusu) size tüm sertifika zincirini sağlar ve tüm yapmanız gereken imzaları doğrulamaktır.

Bu zincirdeki son kişi, zaten güvenilir olarak işaretlediğiniz kök sertifikadır.

Örneğin, bir [kullanıcı] → [intermed-1] → [intermed-2] → [root] zincirine sahipseniz , doğrulama aşağıdaki gibidir:

  1. Mu [kullanıcı] sahip [intermed-1] onun "ihraççının" olarak?

  2. [User] [intermed-1] anahtarının geçerli bir imzası var mı ?

  3. Mu [intermed-1] sahip [intermed-2] onun "ihraççının" olarak?

  4. Mu [intermed-1] tarafından geçerli bir imzaya sahip [intermed-2] 'in tuşunun?

  5. Mu [intermed-2] sahip [root] onun "ihraççının" olarak?

  6. Mu [intermed-2] tarafından geçerli bir imzaya sahip [root] 'ın anahtar?

  7. Yana [root] zincirinin alt kısmında ve "ihraççının" olarak kendisine sahip, güvenilir olarak işaretlenir?

İşlem her zaman tam olarak aynı; Ara CA'ların varlığı ve sayısı önemli değildir. Kullanıcı sertifikası doğrudan root tarafından imzalanabilir ve aynı şekilde doğrulanacaktır.

Kök sertifikalara bağlanan ara sertifika örnekleri nelerdir?

Üç veya dört sertifika içeren zincirler için https://twitter.com/ veya https://www.facebook.com/ sertifika bilgilerine bakın . Ayrıca Google’ın kendi sertifika yetkilisi örneği için https://www.google.com/ adresini ziyaret edin .

grawity
kaynak
Teşekkürler. Heyet deyince, kendi ara sertifikalarına sahip olmak nasıl yardımcı olur? Bu, başka bir güvenilir kök sertifika yetkilisi tarafından imzalandığı anlamına mı geliyor? Google’ın sertifikasına baktım ancak zinciri görmedim. Lütfen ne demek istediğinin bir resmini yükleyebilir misin?
Fıstık Maymun
Başka bir güvenilen kök sertifika yetkilisi tarafından imzalanmadı, güvenilen kök sertifika yetkilisi tarafından imzalandılar. Tipik CA'ların sertifikaları imzalayabilen birkaç farklı sistemi vardır. Hepsi kök anahtarı kullanıyorsa, bir sistemin bir uzlaşması tüm CA'yı yok eder ve tüm sertifikalarını güvenilmez yapar.
David Schwartz
1
@David Schwartz - Teşekkürler. Bu nedenle, Google’ın bir örneği olarak, kök sertifika yetkilileri, onlara ara sertifika oluşturma yeteneği sağlayan Equifax’tır. Bu doğru mu?
Fıstık Maymun
4
Bu doğru. Büyük olasılıkla, Equifax, bu ara CA tarafından verilen sertifikaları imzalamak için gereken anahtarı elinde bulunduruyor, ancak Google, Equifax'ın tarafına insan müdahalesi olmadan sertifikaları imzalamalarını sağlayacak bir arayüze sahip. Google bu ayrıcalığı kötüye kullanırsa, Equifax Google’ın orta CA yetkilisini iptal etmek için kök yetkilerini kullanabilir.
David Schwartz
Sorunu saptamanıza ve doğru zincir sertifikalarınızı oluşturmanıza yardımcı olmak için whatsmychaincert.com adresini kullanın .
Ethan Allen
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.