Quali attributi nell'oggetto di un certificato X.509 da un'autorità di certificazione vengono utilizzati come "identificatore"?

1

Ho cercato di seguire le catene di certificati dei siti Web casuali che visito e vedere se li trovo effettivamente nell'archivio dell'autorità di certificazione radice attendibile di Windows 10. Non trovo quasi mai una corrispondenza esatta, specialmente con l'attributo Common CN "CN". Quindi quale degli attributi soggetto ad esempio (CN, OU, O, L, S, C, ecc.) Il tuo browser usa per dire "Oh, questo certificato dalla catena di certificati attendibili corrisponde a questo particolare uno che ho già installato e mi fido di "?

    
posta Ultratrunks 01.01.2018 - 15:52
fonte

1 risposta

3

L'oggetto completo del certificato emittente deve corrispondere all'attributo completo dell'emittente del certificato emesso.

I almost never find an exact match, especially with the Common Name "CN" attribute.

La mia ipotesi è che si guardi l'emittente del certificato del server e quindi si provi a trovare la CA radice corrispondente. Ma di solito c'è una CA intermedia tra il certificato del server e la CA principale. Ciò significa che l'emittente del certificato server è la CA intermedia e l'emittente della CA intermedia è la CA radice.

In altre parole: il certificato del server non viene emesso direttamente dalla CA radice. L'emittente del certificato del server non è quindi l'oggetto della CA principale. E non è possibile trovare la CA radice semplicemente osservando l'emittente dei certificati server.

Invece devi prendere esplicitamente in considerazione i certificati intermedi. Ad esempio:

Certificato server di security.stackexchange.com:

subject: /C=US/ST=NY/L=New York/O=Stack Exchange, Inc./CN=*.stackexchange.com
issuer:  /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA

Certificato intermedio - l'argomento corrisponde all'emittente del certificato del server:

subject: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
issuer:  /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA

CA radice - l'argomento corrisponde all'emittente del certificato intermedio:

subject: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
issuer:  /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA

Per maggiori informazioni vedi anche Framework dei certificati SSL 101: in che modo il browser verifica effettivamente la validità di un determinato certificato del server?

    
risposta data 01.01.2018 - 16:44
fonte

Leggi altre domande sui tag