Un browser deve fare più richieste per verificare una catena di certificati SSL?

Question

Un browser deve fare più richieste per verificare una catena di certificati SSL?

#1 da (6 voti)

4

Ho appreso che i certificati SSL possono essere concatenati e il browser utilizzerà la chiave pubblica dell'emittente per verificare la firma dell'emittente. Ho letto questo articolo, che ha un diagramma molto utile, ma non risponde alla mia domanda specifica. Framework dei certificati SSL 101: come il browser verifica effettivamente la validità di un determinato certificato del server?

Nel caso di una catena di certificati a 5 livelli, il browser:

Ottieni i primi 4 certificati in un'unica richiesta al sito web originale?
- Sono 4 file separati o 1 file contenente tutti e 4 i certificati?
Oppure ottieni un certificato alla volta dopo l'elaborazione di ciascuno (4 richieste separate)?
- Se ogni emittente proviene da un dominio diverso, il browser ottiene i certificati da 4 domini diversi o solo dal sito Web originale?
O qualche altro metodo?

web-browser digital-signature tls certificates

posta wisbucky 03.03.2015 - 03:37

fonte

1 risposta

Leggi altre domande sui tag web-browser digital-signature tls certificates

Schermata Blocco sfarfallio del desktop È possibile decifrare l'hash con sale conosciuto? Se sì come?

score 6 · Accepted Answer

Il server invia l'intera catena di certificati, fino a ed eventualmente incluso il certificato di root, tutto in una volta come parte di Messaggio di handshake TLS certificato server :

certificate_list

   This is a sequence (chain) of certificates.  The sender's
   certificate MUST come first in the list.  Each following
   certificate MUST directly certify the one preceding it.  Because
   certificate validation requires that root keys be distributed
   independently, the self-signed certificate that specifies the root
   certificate authority MAY be omitted from the chain, under the
   assumption that the remote end must already possess it in order to
   validate it in any case.

È un messaggio TCP (potenzialmente diviso in più pacchetti, ma riassemblato dal client nello stack TCP) dal server al client.

Il client deve avere il certificato di origine da consultare come autorità e tutti gli altri certificati devono formare una catena collegata che parte da foglia a radice.