Wie funktionieren SSL-Ketten?

37

Warum sind Zwischenzertifizierungsstellen erforderlich? Wann würde ein Zwischenzertifikat verwendet? Wie überprüfe ich die Kette vom Zwischenzertifikat zum Stammzertifikat? Was sind Beispiele für Zwischenzertifikate, die mit Stammzertifikaten verknüpft sind?

ssl PeanutsMonkey
quelle
6
Ich würde mich über Kommentare freuen, bevor ich abstimme, um die Frage abzuschließen. Ich habe keine Ahnung, warum Sie es schließen möchten, z. B. ist es ein Duplikat, macht keinen Sinn, usw.
PeanutsMonkey
11
@ Linker3000 - Die Frage ist nicht offen, da es eindeutig eine Antwort gibt, und sie ist auch nicht gesprächig, dh sie soll kein Gespräch anregen. Es ist wichtig zu verstehen, wie SSL-Ketten funktionieren, damit bei Bedarf bei der Implementierung von SSL-Zertifikaten die Grundlagen von SSL-Ketten verstanden werden können.
PeanutsMonkey

Antworten:

48

Warum sind Zwischenzertifizierungsstellen erforderlich? Wann würde ein Zwischenzertifikat verwendet?

Manchmal wird der private Schlüssel der Stammzertifizierungsstelle an einem sehr sicheren Ort gespeichert und nur zum Signieren einiger Zwischenzertifikate verwendet, die dann zum Ausstellen von Endentitätszertifikaten verwendet werden. Im Falle einer Kompromittierung können die Intermediates schnell widerrufen werden, ohne dass jeder einzelne Computer neu konfiguriert werden muss, um einer neuen Zertifizierungsstelle zu vertrauen.

Ein weiterer möglicher Grund ist die Delegation: Beispielsweise verfügen Unternehmen wie Google, die häufig viele Zertifikate für ihre eigenen Netzwerke verwenden, über eine eigene Zwischenzertifizierungsstelle.

Wie überprüfe ich die Kette vom Zwischenzertifikat zum Stammzertifikat?

In der Regel stellt Ihnen die Endentität (z. B. ein SSL / TLS-Webserver) die gesamte Zertifikatskette zur Verfügung. Sie müssen lediglich die Signaturen überprüfen.

Das letzte in dieser Kette ist das Stammzertifikat, das Sie bereits als vertrauenswürdig markiert haben.

Wenn Sie beispielsweise eine Kette [Benutzer] → [Intermed-1] → [Intermed-2] → [Root] haben , sieht die Überprüfung folgendermaßen aus:

  1. Does [user] hat [intermed-1] als "Emittentin"?

  2. Hat [Benutzer] eine gültige Signatur mit dem Schlüssel von [intermed-1] ?

  3. Does [intermed-1] hat [intermed-2] als "Emittentin"?

  4. Hat [intermed-1] eine gültige Signatur mit dem Schlüssel von [intermed-2] ?

  5. Does [intermed-2] haben [root] als "Emittentin"?

  6. Hat [intermed-2] eine gültige Signatur nach dem Schlüssel von [root] ?

  7. Da sich [root] am Ende der Kette befindet und sich selbst als "Issuer" bezeichnet, wird es als vertrauenswürdig markiert?

Der Prozess ist die ganze Zeit genau der gleiche; Die Existenz und Anzahl der Zwischenzertifizierungsstellen spielt keine Rolle. Das Benutzerzertifikat kann direkt von root signiert und auf die gleiche Weise überprüft werden.

Was sind Beispiele für Zwischenzertifikate, die mit Stammzertifikaten verknüpft sind?

In den Zertifikatsinformationen von https://twitter.com/ oder https://www.facebook.com/ finden Sie Ketten mit drei oder vier Zertifikaten. Unter https://www.google.com/ finden Sie ein Beispiel für die eigene Zertifizierungsstelle von Google.

Grawity
quelle
Vielen Dank. Wenn Sie Delegation sagen, wie hilft es, eigene Zwischenzertifikate zu haben? Bedeutet dies auch, dass es von einer anderen vertrauenswürdigen Stammzertifizierungsstelle signiert wurde? Ich habe mir das Zertifikat von Google angesehen, aber die Kette nicht gesehen. Können Sie bitte ein Bild von dem hochladen, was Sie meinen?
PeanutsMonkey
Sie sind nicht von einer anderen vertrauenswürdigen Stammzertifizierungsstelle signiert, sondern von ihrer vertrauenswürdigen Stammzertifizierungsstelle. Typische Zertifizierungsstellen haben verschiedene Systeme, die Zertifikate signieren können. Wenn alle den Stammschlüssel tatsächlich verwenden würden, würde ein Kompromiss mit einem System die gesamte Zertifizierungsstelle zerstören und alle ihre Zertifikate nicht mehr vertrauenswürdig machen.
David Schwartz
1
@ David Schwartz - Danke. In Googles Fall ist die Stammzertifizierungsstelle Equifax, mit der sie Zwischenzertifikate erstellen können. Ist das richtig?
PeanutsMonkey
4
Das ist richtig. Höchstwahrscheinlich verfügt Equifax über den Schlüssel zum Signieren von Zertifikaten, die von dieser Zwischenzertifizierungsstelle ausgestellt wurden. Google verfügt jedoch über eine Schnittstelle, über die sie Zertifikate ohne menschliches Eingreifen von Equifax signieren können. Wenn Google jemals das Privileg missbraucht, kann Equifax seine Root-Berechtigung verwenden, um die CA-Berechtigung von Google für Zwischenprodukte zu widerrufen.
David Schwartz
Verwenden Sie whatsmychaincert.com , um das Problem zu erkennen und die richtigen Kettenzertifikate zu erstellen .
Ethan Allen