Como as cadeias SSL funcionam?

37

Por que as autoridades de certificação intermediárias são necessárias? Quando um certificado intermediário seria usado? Como verifico a cadeia do certificado intermediário para o certificado raiz? Quais são os exemplos de certificados intermediários vinculados a certificados raiz?

AmendoimMacaco
fonte
6
Gostaria que as pessoas comentassem pelo menos antes de votar para encerrar a pergunta. Eu não tenho idéia por que você gostaria de fechá-lo, por exemplo, é uma duplicata, não faz sentido, etc #
PeanutsMonkey 17/10/11
11
@ Linker3000 - A pergunta não é aberta, pois há claramente uma resposta e não é tagarela, ou seja, não se destina a provocar uma conversa. É entender como as cadeias SSL funcionam para que, se surgir a necessidade de implementar certificados SSL, isso possa ser feito com o entendimento dos fundamentos das cadeias SSL.
PeanutsMonkey

Respostas:

48

Por que as autoridades de certificação intermediárias são necessárias? Quando um certificado intermediário seria usado?

Às vezes, para proteger a chave privada da CA raiz, ela é armazenada em um local muito seguro e usada apenas para assinar alguns certificados intermediários, que são usados ​​para emitir certificados de entidade final. Em caso de comprometimento, os intermediários podem ser revogados rapidamente, sem a necessidade de reconfigurar cada máquina para confiar em uma nova CA.

Outro motivo possível é a delegação: por exemplo, empresas como o Google, que geralmente usam muitos certificados para suas próprias redes, terão uma CA intermediária própria.

Como verifico a cadeia do certificado intermediário para o certificado raiz?

Normalmente, a entidade final (por exemplo, um servidor da Web SSL / TLS) fornece toda a cadeia de certificados, e tudo o que você precisa fazer é verificar as assinaturas.

O último dessa cadeia é o certificado raiz, que você já marcou como confiável.

Por exemplo, quando você tem uma cadeia [usuário] → [intermediário-1] → [intermediário-2] → [raiz] , a verificação é assim:

  1. O [usuário] tem [intermed-1] como "Emissor"?

  2. O [usuário] possui uma assinatura válida pela chave [intermed-1] ?

  3. Does [intermed-1] tem [intermed-2] como seu "Emissora"?

  4. O [intermed-1] possui uma assinatura válida pela chave do [intermed-2] ?

  5. Does [intermed-2] tem [root] como seu "Emissora"?

  6. O [intermed-2] possui uma assinatura válida pela chave do [root] ?

  7. Como o [root] está na parte inferior da cadeia e se apresenta como "Emissor", ele é marcado como confiável?

O processo é exatamente o mesmo o tempo todo; a existência e a contagem de CAs intermediárias não importa. O certificado do usuário pode ser assinado diretamente pela raiz e será verificado da mesma maneira.

Quais são os exemplos de certificados intermediários vinculados a certificados raiz?

Consulte as informações do certificado em https://twitter.com/ ou https://www.facebook.com/ para cadeias contendo três ou quatro certificados. Consulte também https://www.google.com/ para obter um exemplo da própria autoridade de certificação do Google.

gravidade
fonte
Obrigado. Quando você diz delegação, como isso ajuda a ter seus próprios certificados intermediários? Isso também significa que foi assinado por outra autoridade de certificação raiz confiável? Dei uma olhada no certificado do Google, mas não vi a cadeia. Você pode enviar uma imagem do que você quer dizer?
PeanutsMonkey
Eles não são assinados por outra autoridade de certificação raiz confiável, são assinados por sua autoridade de certificação raiz confiável. As CAs típicas têm vários sistemas diferentes que podem assinar certificados. Se todos eles realmente usassem a chave raiz, um comprometimento com um sistema destruiria toda a CA e tornaria todos os seus certificados não confiáveis.
David Schwartz
1
@ David Schwartz - Obrigado. Portanto, no caso do Google, por exemplo, sua autoridade de certificação raiz é a Equifax, que lhes oferece a capacidade de criar certificados intermediários. Isso esta certo?
PeanutsMonkey
4
Está correto. Provavelmente, o Equifax possui a chave necessária para assinar certificados emitidos por essa CA intermediária, mas o Google possui uma interface para permitir que eles assinem certificados sem intervenção humana da parte da Equifax. Se o Google abusar do privilégio, a Equifax poderá usar sua autoridade root para revogar a autoridade CA intermediária do Google.
David Schwartz
Use whatsmychaincert.com para ajudá-lo a detectar o problema e gerar seus certificados de cadeia corretos.
Ethan Allen