In che modo il mio browser si fida intrinsecamente di una CA?

54

Sto leggendo questo post e non capisco la risposta.

La risposta termina con le parole

...your browser can verify one cert against the next, all the way to the root CA, which your browser inherently trusts.

In che modo il mio browser può intrinsecamente fidarsi di una CA? Contiene una chiave pubblica codificata hard della CA? Se è così, perché non scade? Dove posso vedere quali CA sono intrinsecamente attendibili dal browser?

    
posta PolinaC 08.05.2017 - 05:22
fonte

1 risposta

71

How my browser can inherently trust a CA? Does in contain hard coded public key of the CA?

Il tuo browser (e possibilmente il tuo SO) viene fornito con un elenco di CA affidabili. Questi certificati preinstallati servono come ancore di fiducia per ricavare ogni ulteriore fiducia da. Quando visiti un sito web HTTPS, il tuo browser verifica che sia presentata la catena di fiducia dal server durante l'handshake TLS termina con uno dei certificati radice localmente attendibili.

If so, why does not it expire?

I certificati root scadono, ma tendono ad avere tempi di validità eccezionalmente lunghi (spesso circa 20 anni). Puoi aspettarti che con un aggiornamento del tuo browser o sistema operativo, riceverai nuovi certificati root prima della scadenza di quelli vecchi.

Where can I see what CAs are inherently trusted by the browser?

Dipende dal tuo browser. Alcuni browser utilizzeranno semplicemente l'archivio del certificato radice principale del sistema operativo, se disponibile.

Per Mozilla Firefox, puoi trovare informazioni sui certificati inclusi qui e in questo file del codice sorgente . Da Firefox, puoi visualizzare tutti i certificati installati andando a about:preferences e a Avanzate > Certificati > Visualizza i certificati .

Per Google Chrome, è possibile trovare la politica dei certificati di base qui . Da Google Chrome, puoi accedere alle impostazioni, fare clic su Mostra impostazioni avanzate ... e in HTTPS / SSL fai clic su Gestisci certificati su visualizza tutti i certificati installati.

    
risposta data 08.05.2017 - 05:44
fonte

Leggi altre domande sui tag