Il certificato può essere convalidato localmente [duplicato]

2

Quando stabilisco TLS / SSL con un server, mi invia il certificato nel processo. Il certificato è firmato da un'autorità di certificazione.

Nel mio PC / browser ho un elenco di autorità di certificazione attendibili.

Devo inviare il certificato all'autorità o lo convalido localmente (controllando la firma del certificato utilizzando i dati memorizzati nell'elenco delle autorità di certificazione)?

(nota: se necessario, prendi il browser per il client TLS / SSL di esempio)

    
posta croraf 31.10.2018 - 21:22
fonte

2 risposte

6

I certificati sono convalidati localmente. Tuttavia, il cliente può contattare il repository CA se mancano alcune informazioni. Ad esempio, se manca un certificato CA intermedio dall'archivio locale e il server Web non lo ha restituito durante l'handshake, il client può scaricare il certificato mancante dal repository CA. Inoltre, il client può controllare la revoca dei certificati contattando la CA tramite OCSP o eseguendo il downloding di un CRL dal repository CA quando non sono memorizzate informazioni di revoca aggiornate nella cache locale.

Le convalide di firma e catena sono sempre eseguite localmente.

    
risposta data 31.10.2018 - 21:44
fonte
5

Il controllo della catena di certificati richiede la connessione a server esterni?

Non necessariamente, se la catena è completa da una CA affidabile al certificato foglia (il certificato del sito), non sono necessarie richieste. Ogni cert è attendibile o firmato da un cert più in alto nella catena. Ad esempio.com questo dovrebbe apparire come questo:

  • CA root (affidabile come è installato nel browser)
    • Intermedio A (attendibile poiché è firmato da Root CA)
      • Intermedio B (fidato com'è firmato dall'intermedio A)
        • Cert del sito (attendibile poiché è firmato dall'intermediario B)

Il controllo della revoca richiede la connessione a fonti esterne?

Utilizzando un CRL, o il normale OCSP richiede una richiesta esterna per verificare se il certificato è stato invalidato da quando è stato emesso, questo può essere un problema di privacy in quanto consente a una terza parte (quella che esegue il responder OCSP) di tracciare gli utenti .

Per aggirare questo problema, è possibile utilizzare la punteggiatura OCSP, in cui il server richiede la risposta OCSP e la restituisce mentre è valida per i client, prima di dover ottenere una nuova risposta, evitando che le risposte stantie vengano utilizzate per sempre.

Cosa succede quando la catena è incompleta?

Se la catena è incompleta allora un AIA Extention può essere usato per indicare l'emittente di un certificato, permettendo al cliente di riparare il gap nella catena, ma il supporto client per questo non è garantito, quindi è meglio presentare una catena completa quando possibile.

    
risposta data 31.10.2018 - 22:07
fonte

Leggi altre domande sui tag