Per i certificati SSL, è necessario stabilire una sorta di connessione alla CA di emissione (o altra risorsa di rete) necessaria per la connessione SSL?

Naviga le tue risposte
1

Stavo leggendo un articolo su creando un'autorità di certificazione e ho trovato questa domanda quando sono arrivato alla sezione "Distribuisci i tuoi certificati e CRL".

Sfondo:

  1. Sto distribuendo un'applicazione su una rete privata, ma ho ancora bisogno di usare SSL per alcuni dei meccanismi di autenticazione. Stavo pensando che un certificato SSL da una CA standard non funzionerebbe poiché non vi è alcun accesso esterno dalla rete, e quindi non c'è modo di verificare la cert in qualche modo (se la verifica avviene del tutto).
  2. I client di servizio si collegherebbero in vari modi ... browser, java, .Net, ecc ... Odio degradare l'utilità di SSL disattivazione delle funzionalità , ma lo terrò come opzione.
  3. Se si verifica la verifica, penso che dovrò implementare la mia propria autorità di certificazione (mi rendo conto che ciò comporterebbe la distribuzione di un certificato di root a tutti i client, non è l'ideale, ma dovrebbe essere accettabile), ma posso t sembra trovare qualche informazione su un "fornitore di verifica".
posta Daniel Bower 20.09.2012 - 03:23
fonte

1 risposta

1

Quando si verifica una connessione SSL, il client deve accertarsi che stia parlando con il server giusto. Ciò comporta la convalida del certificato del server in relazione a un insieme di trust anchors conosciuti (ovvero "certificati radice"), e anche la verifica dello stato di revoca dei suddetti certificati (il server certificato e ogni certificato CA intermedio necessario tra una radice e il certificato del server). Revoca è il modo in cui una CA dice "whoops, my bad, ignora quel certificato se lo vedi, anche se ha una firma apparentemente corretta su di esso". Lo stato di revoca si ottiene scaricando un CRL dalla CA, dove vengono regolarmente aggiornati gli oggetti firmati CRL emessi dalla CA (in genere una volta al giorno).

(In alternativa, lo stato di revoca può essere ottenuto con OCSP, che non modifica in modo sostanziale l'immagine.)

Quindi controllo dello stato di revoca normalmente implica un qualche tipo di connessione alla CA di emissione (probabilmente una connessione intermittente o una spinta regolare attiva dalla CA). In alcune configurazioni, è possibile fare senza revoca; questo equivale a dire che la chiave privata del server non verrà mai rubata.

Se il server richiede un certificato dal client, si verifica anche lo scenario mirror.

    
risposta data 20.09.2012 - 03:47
fonte

Leggi altre domande sui tag

Il nome WiFi continua a cambiare ma non da me Errore di handshake SSL [chiuso]