Come leggere le catene di certificati in OpenSSL

Naviga le tue risposte
2

Sto cercando di capire come leggere l'output dei comandi OpenSSL.

Attualmente sto cercando di capire come funzionano le Catene dei certificati.

Quando do il comando (usando un pacchetto ca standard) 

openssl s_client -connect www.google.com:443 -CAfile ca-bundle.crt

Ottengo 

CONNECTED(00000003)IzJZ5dQUbs0pjW3tAgTAMBgNVHRMBAf8EAjAAMB8GA1Ud
depth=3 /C=US/O=Equifax/OU=Equifax Secure Certificate AuthorityW
verify return:1BAgIwMAYDVR0fBCkwJzAloCOgIYYfaHR0cDovL3BraS5nb29n
depth=2 /C=US/O=GeoTrust Inc./CN=GeoTrust Global CAyd2eyQKKxh3vJ
verify return:11cY/EIksH6hXF6EFnS+8vWZs8Ka8FyQi76cUOSqk2ed2DvOeT
depth=1 /C=US/O=Google Inc/CN=Google Internet Authority G2Bii82d
verify return:1UuiFeti7EjUXr0E58NMnBw39Zv6nZaSbppvlLR/jRBKCRB7jB
depth=0 /C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com
verify return:1sfjYdq1K94yLkfe6mUR7Go6JUkD/eB/Aq9KKoSJbJEvvjGIiJ
---MkQ==
Certificate chainATE-----
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.comcom
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2G2
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
---
Server certificateCipher is AES128-SHA
-----BEGIN CERTIFICATE-----it
MIIEgDCCA2igAwIBAgIIMPM39zVrKUkwDQYJKoZIhvcNAQELBQAwSTELMAkGA1UE
BhMCVVMxEzARBgNVBAoTCkdvb2dsZSBJbmMxJTAjBgNVBAMTHEdvb2dsZSBJbnRl
cm5ldCBBdXRob3JpdHkgRzIw....
.....

La mia domanda riguarda la sezione Catena di certificati.

Qual è il certificato di root? Il primo elencato o l'ultimo? Perché sono tutti segnalati? Non è sufficiente una convalida per andare avanti con?

    
posta CodyBugstein 04.12.2015 - 07:12
fonte

2 risposte

3
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority

... Which is the Root Certificate? The first one listed or the last?

Nessuno di questi. Mostra solo quali certificati vengono inviati dal server, cioè il certificato foglia e i certificati intermedi (catena). Il certificato radice di solito non viene inviato (e sarebbe ignorato se inviato) poiché l'intera idea di convalida del percorso fidato è che la radice è attendibile perché è localmente conosciuta.

In questo caso il percorso di fiducia può essere convalidato se l'utente ha il certificato per "Equifax Secure Certificate Authority" come certificato locale attendibile e se questo certificato può essere utilizzato per convalidare la firma del certificato n. 2 (GeoTrust Global CA) , quindi il certificato n. 2 può essere utilizzato per verificare la firma del certificato n. 1 e il certificato n. 1 per verificare la firma del certificato n. 0. Si noti che il percorso di fiducia è solo una parte della convalida del certificato. Devi anche aggiungere la convalida dell'oggetto (ad esempio, corrisponde all'oggetto www.google.com l'URL a cui hai provato ad accedere) e controlla la scadenza e la revoca.

    
risposta data 04.12.2015 - 07:34
fonte
0

Why are they all reported? Isn't one validation enough to move on with?

Questo è spiegato in questa risposta .

    
risposta data 10.09.2016 - 14:05
fonte

Leggi altre domande sui tag

Protezione delle API da Rogue / Fake iOS o app Android? Token MFA per l'autenticazione in un call center