เครือข่าย SSL ทำงานอย่างไร


37

เหตุใดจึงต้องใช้ผู้ออกใบรับรองระดับกลาง เมื่อใดจะใช้ใบรับรองระดับกลาง ฉันจะตรวจสอบห่วงโซ่จากใบรับรองกลางถึงใบรับรองรูทได้อย่างไร ตัวอย่างของใบรับรองกลางที่เชื่อมโยงกับใบรับรองหลักคืออะไร


6
จะขอบคุณคนที่แสดงความคิดเห็นอย่างน้อยที่สุดก่อนที่จะลงคะแนนเพื่อปิดคำถาม ฉันไม่รู้ว่าทำไมคุณต้องการปิดเช่นมันซ้ำซ้อนไม่มีเหตุผล ฯลฯ
PeanutsMonkey

11
@ Linker3000 - คำถามไม่ได้เป็นแบบปลายเปิดเนื่องจากมีคำตอบที่ชัดเจนและไม่ใช่ช่างพูดนั่นคือไม่ได้มีจุดประสงค์เพื่อกระตุ้นการสนทนา เพื่อให้เข้าใจถึงวิธีการทำงานของเครือข่าย SSL เพื่อให้เกิดความต้องการเมื่อมีการใช้งานใบรับรอง SSL สามารถทำได้ด้วยการทำความเข้าใจพื้นฐานของเครือข่าย SSL
PeanutsMonkey

คำตอบ:


48

เหตุใดจึงต้องใช้ผู้ออกใบรับรองระดับกลาง เมื่อใดจะใช้ใบรับรองระดับกลาง

บางครั้งเพื่อปกป้องคีย์ส่วนตัวของรูท CA จะถูกเก็บไว้ในตำแหน่งที่ปลอดภัยมากและใช้เพื่อลงชื่อใบรับรองระดับกลางสองสามฉบับเท่านั้นซึ่งจะใช้เพื่อออกใบรับรองเอนทิตีปลายทาง ในกรณีที่มีการประนีประนอมสามารถเพิกถอนตัวกลางได้อย่างรวดเร็วโดยไม่ต้องกำหนดค่าเครื่องใหม่ทุกครั้งเพื่อเชื่อถือ CA ใหม่

อีกสาเหตุที่เป็นไปได้คือการมอบสิทธิ์: ตัวอย่างเช่น บริษัท เช่น Google ซึ่งมักใช้ใบรับรองจำนวนมากสำหรับเครือข่ายของตัวเองจะมี CA ระดับกลางของตนเอง

ฉันจะตรวจสอบห่วงโซ่จากใบรับรองกลางถึงใบรับรองรูทได้อย่างไร

โดยปกติแล้วเอนทิตีปลายทาง (ตัวอย่างเช่นเว็บเซิร์ฟเวอร์ SSL / TLS) จะให้บริการคุณกับห่วงโซ่ใบรับรองทั้งหมดและสิ่งที่คุณต้องทำคือตรวจสอบลายเซ็น

สิ่งสุดท้ายในห่วงโซ่นั้นคือใบรับรองรูทซึ่งคุณทำเครื่องหมายว่าเชื่อถือได้แล้ว

ตัวอย่างเช่นเมื่อคุณมีห่วงโซ่[ผู้ใช้] → [intermed-1] → [intermed-2] → [root]การตรวจสอบจะเป็นดังนี้:

  1. ไม่ผู้ใช้ []มี[intermed-1]ในฐานะ "ผู้ออก"?

  2. ไม่ผู้ใช้ []มีลายเซ็นที่ถูกต้องโดย[intermed-1] 's สำคัญ?

  3. ไม่[intermed-1]มี[intermed-2]ในฐานะ "ผู้ออก"?

  4. ไม่[intermed-1]มีลายเซ็นที่ถูกต้องโดย[intermed-2] 's สำคัญ?

  5. ไม่[intermed-2]มี[root]ในฐานะ "ผู้ออก"?

  6. ไม่[intermed-2]มีลายเซ็นที่ถูกต้องโดย[root] 's สำคัญ?

  7. เนื่องจาก[ราก]อยู่ที่ด้านล่างของโซ่และมีตัวเองเป็น "ผู้ออก" จึงถูกทำเครื่องหมายว่าเชื่อถือได้หรือไม่

กระบวนการนี้เหมือนกันตลอดเวลา การมีอยู่และจำนวน CA ระดับกลางไม่สำคัญ ใบรับรองผู้ใช้สามารถลงนามโดย root ได้โดยตรงและจะได้รับการตรวจสอบในลักษณะเดียวกัน

ตัวอย่างของใบรับรองกลางที่เชื่อมโยงกับใบรับรองหลักคืออะไร

ดูข้อมูลใบรับรองของhttps://twitter.com/หรือhttps://www.facebook.com/สำหรับโซ่ที่มีใบรับรองสามหรือสี่ ดูเพิ่มเติมที่https://www.google.com/สำหรับตัวอย่างของผู้ออกใบรับรองของ Google


ขอบคุณ เมื่อคุณพูดการมอบหมายมันจะช่วยให้มีใบรับรองกลางของตัวเองได้อย่างไร หมายความว่ามีการลงนามโดยผู้ออกใบรับรองหลักที่เชื่อถือได้อีกคนหรือไม่ ฉันดูใบรับรองของ Google แต่ไม่เห็นสาย คุณกรุณาอัพโหลดรูปภาพที่คุณหมายถึงหรือไม่
PeanutsMonkey

พวกเขาไม่ได้ลงนามโดยผู้ออกใบรับรองหลักที่เชื่อถือได้อีกคนพวกเขาลงนามโดยผู้ออกใบรับรองหลักที่เชื่อถือได้ CA ทั่วไปนั้นมีหลายระบบที่สามารถลงนามใบรับรองได้ หากพวกเขาทั้งหมดใช้รูทคีย์การประนีประนอมกับระบบใดระบบหนึ่งจะทำลายทั้ง CA และทำให้ใบรับรองทั้งหมดไม่น่าเชื่อถือ
David Schwartz

1
@ David Schwartz - ขอบคุณ ดังนั้นในกรณีของ Google เป็นตัวอย่างผู้ออกใบรับรองหลักของพวกเขาคือ Equifax ที่ให้ความสามารถในการสร้างใบรับรองระดับกลาง นั่นถูกต้องใช่ไหม?
PeanutsMonkey

4
ถูกต้อง. เป็นไปได้มากว่า Equifax ถือกุญแจที่จำเป็นในการลงนามใบรับรองที่ออกโดย CA ระดับกลางนั้น แต่ Google มีอินเทอร์เฟซเพื่อให้พวกเขาลงชื่อใบรับรองโดยไม่ต้องมีการแทรกแซงจากมนุษย์ในส่วนของ Equifax หาก Google ใช้สิทธิ์ในทางที่ผิด Equifax สามารถใช้สิทธิ์รูทเพื่อเพิกถอนสิทธิ์ CA ระดับกลางของ Google
David Schwartz

ใช้whatsmychaincert.comเพื่อช่วยคุณตรวจสอบปัญหาและสร้างใบรับรองลูกโซ่ที่ถูกต้องของคุณ
อีธานอัลเลน
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.