Qual è la differenza tra un certificato radice autofirmato e un'autorità di certificazione radice

1

Questi termini provengono da Keychain Access utillity su macOS High Sierra.

L' Autorità di certificazione radice contiene informazioni su Paese, Ubicazione, Indirizzo e-mail, ecc. dell'origine, mentre la seconda contiene un numero di serie e una versione nelle informazioni su Oggetto ed Emittente.

Sono le stesse cose? Possono esistere certificati radice che non sono autofirmati? Pensavo che il "certificato di root autofirmato" sarebbe una tautologia.

    
posta hgiesel 31.08.2017 - 18:28
fonte

3 risposte

2

The Root certificate authority contains information about the Country, Location, Email-address, etc. of the origin, while the second contains a Serial number and a version in the Subject and Issuer information. Are these the same things?

No, le proprietà che hai elencato non sono le stesse. Un certificato deve avere un Soggetto e Emittente e può inoltre contenere un Paese , Località e Email -indirizzo , ecc. Ciò che è incluso in un certificato dipende dal suo tipo e da ciò che il proprietario vuole in esso.

Can there be root certificates that are not self-signed? I thought "Self-signed root certificate" would be a tautology.

Diamo un'occhiata.

Un certificato autofirmato è proprio questo. Un certificato firmato dalla chiave privata, che è la coppia della chiave pubblica incorporata nel certificato. Quando si costruisce una catena di fiducia, questo tipo di certificato può apparire solo alla radice della catena in quanto non può avere nulla dopo di essa (dal momento che è firmato da solo). Ecco il colpo. La costruzione della catena di fiducia si fermerà quando si incontra un certificato radice attendibile . Questo è trusted-root è sempre autofirmato.

Tuttavia, esiste un caso speciale quando una CA che di recente entra nel campo pubblica il suo certificato "root" che non è autofirmato, ma omologato da una CA ben consolidata, rendendolo un certificato intermedio . Ciò consente alla nuova CA di avviare operazioni prima che il certificato radice reale venga distribuito ai browser e ai negozi di fiducia del sistema operativo. Un ottimo esempio di questo è Let's Encrypt's root certificates . Sono certificati in modo incrociato da IdenTrust.

Per riassumere, sì i certificati autofirmati sono per definizione certificati radice, rendendolo una tautologia.

    
risposta data 31.08.2017 - 23:16
fonte
1

La tua domanda sembra metamorfosi mentre si legge da un argomento all'altro. Inizia con:

What is the difference between a self-signed root certificate and a root certificate authority?

Il certificato radice autofirmato è il certificato che l'autorità di certificazione principale pubblica e può essere utilizzato per verificare i certificati "cliente" emessi dall'autorità di certificazione.

Termina con:

Can there be root certificates that are not self-signed?

La natura dei certificati radice è che sono alla "fine della catena", quindi implicitamente possono essere autofirmati solo.

Nel mezzo diventa un po 'confuso, presumo nel modo seguente:

The Root certificate authority contains information about the Country, Location, Email-address, etc. of the origin, while the second contains a Serial number and a version in the Subject and Issuer information.

Se ti riferisci alle sezioni Subject Name e Issuer Name di un certificato di root quando viene visualizzato utilizzando Accesso Portachiavi, allora sì i dettagli saranno gli stessi perché è un certificato di root (autofirmato).

    
risposta data 31.08.2017 - 20:28
fonte
0

È tutta una questione di terminologia. Le catene di certificati rappresentano la struttura dei dati del grafico ad albero. La struttura ad albero ha sempre un vertice / nodo speciale senza bordi in entrata (ci sono solo bordi in uscita) chiamati root. Questo è ciò che significa nelle catene di certificati: il certificato di origine è il certificato più alto senza alcun genitore. Poiché non esiste un genitore (nessun firmatario) per una radice, è autofirmato. Pertanto, "root autofirmato" è una tautologia.

    
risposta data 31.08.2017 - 19:28
fonte

Leggi altre domande sui tag