Si suppone di vedere Root CA nella catena SSL?

Question

Si suppone di vedere Root CA nella catena SSL?

#1 da (4 voti)

3

Sono confuso nella differenza ciò che il browser mostra come catena SSL rispetto a ciò che openSSL fa. Esempio sotto quale catena SSL appare per link dal browser e da SSL aperto. Come puoi vedere, l'SSL aperto mostra che Comodo RSA Certification Authority ha in realtà un genitore chiamato AddTrust External CA Root mentre non viene mostrato nel browser.

CONNECTED(00000003)depth=3C=SE,O=AddTrustAB,OU=AddTrustExternalTTPNetwork,CN=AddTrustExternalCARootverifyreturn:1depth=2C=GB,ST=GreaterManchester,L=Salford,O=COMODOCALimited,CN=COMODORSACertificationAuthorityverifyreturn:1depth=1C=GB,ST=GreaterManchester,L=Salford,O=COMODOCALimited,CN=COMODORSAExtendedValidationSecureServerCAverifyreturn:1depth=0serialNumber=3910805,jurisdictionC=US,jurisdictionST=Delaware,businessCategory=PrivateOrganization,C=US,postalCode=07013,ST=NewJersey,L=Clifton,street=Suite100,street=1255BroadSt,O="Comodo Security Solutions, Inc.", OU = COMODO EV SSL, CN = www.comodo.com verify return:1

openssl tls

posta Gregory Suvalian 05.11.2018 - 13:43

fonte

1 risposta

Leggi altre domande sui tag openssl tls

Protezione dell'applicazione web opensource Avvisa sulla CA specifica di Firefox

score 4 · Accepted Answer

La catena di attendibilità calcolata dipende dai certificati di origine nel trust store e dall'algoritmo per calcolare la catena di fiducia. In questo caso specifico il server invia i seguenti certificati:

 0 ... CN=www.comodo.com
 1 ... CN=COMODO RSA Extended Validation Secure Server CA
 2 ... CN=COMODO RSA Certification Authority

L'emittente di [0] è [1], di [1] è [2] e di [2] è ...CN=AddTrust External CA Root .

Il browser ha certificati autofirmati per CN=COMODO RSA Certification Authority nel truststore e preferisce catene fiduciarie corte e quindi calcola una catena di fiducia che termina con questi certificati. Si noti che il CN=COMODO RSA Certification Authority del browser ha un certificato CA autofirmato (cioè CA radice) e non lo stesso certificato inviato dal server. Entrambi hanno la stessa chiave pubblica (e quindi privata), tuttavia possono essere utilizzati entrambi per convalidare correttamente la firma di CN=COMODO RSA Extended Validation Secure Server CA .

openssl ha probabilmente anche questo certificato nel trust store ma ha anche un certificato per CN=AddTrust External CA Root . Dato che OpenSSL prima tenta il percorso di fiducia più lungo, mostrerà il percorso che termina con la root AddTrust. Se il certificato AddTrust non fosse stato nel trust store avrebbe anche mostrato la breve catena di fiducia che termina con CN=COMODO RSA Certification Authority . Questo sarebbe almeno il caso con OpenSSL 1.02 e successivi. La versione precedente fallirebbe la convalida se l'ultimo certificato nella catena di invio non avesse alcun certificato di base di emissione nel trust store.