Verificare il certificato intermedio TLS

3

Nella risposta alla domanda "Come viene verificata la catena di certificati TLS" viene indicato che i certificati intermedi coinvolti sono "recuperato e convalidato". Come è fatto esattamente?

Specificamente:

  • Quindi so che i certificati intermedi possono essere archiviati localmente su un client o serviti dal server. Queste due fonti si fidano dello stesso? Devi recuperare l'intermediario da un server che è di proprietà e gestito dalla CA radice o dalla firma della CA?

  • Quando viene verificato un certificato intermedio, il client si connette al dominio del titolare del certificato intermedio per convalidare il certificato rispetto al dominio attivo? O un algoritmo solo locale eseguirà tutto il lavoro fino al certificato radice?

posta minghua 09.04.2017 - 00:16
fonte

1 risposta

3

Il sistema che verifica la catena di certificati ha un archivio locale di certificati CA radice. Le chiavi private associate a questi certificati vengono utilizzate per firmare i certificati intermedi. Le chiavi private per gli intermediari vengono quindi utilizzate a loro volta per firmare i certificati rilasciati ai server. Quando si ottiene la catena di certificati da un server (la catena completa può essere richiesta da un servizio configurato correttamente) questa catena viene calpestata, verificando le firme lungo la catena, fino a una CA radice presente nell'archivio locale dei sistemi.

Se un certificato intermedio è stato falsificato, la firma dalla CA radice che l'ha firmata (contenuta nel certificato intermedio) non sarebbe valida e la catena sarebbe stata interrotta.

    
risposta data 09.04.2017 - 00:42
fonte

Leggi altre domande sui tag