Quando la CA GeoTrust rilascia il certificato per il dominio Google, fornisce anche la chiave privata a Google con cui il certificato è firmato digitalmente?

Naviga le tue risposte
0

Ho già indirizzato questo link Come funziona SSL / TLS? prima ho postato la mia domanda ma non sono riuscito a trovare lì quello che sto chiedendo qui, quindi non è una domanda doppia.

GeoTrust è un'autorità di certificazione che rilascia certificati firmati digitalmente ai domini registrati. Ogni anno rilasciano milioni di certificati per domini registrati. Ma all'atto dell'emissione di un certificato per un dominio, CA fornisce anche una chiave privata per quel dominio per il quale viene rilasciato il certificato CA e firmato digitalmente? La chiave pubblica e privata per un dominio specifico corrisponde ad altri domini?

Se CA mantiene la chiave privata come segreto durante la firma del certificato, allora come i server decodificano la chiave simmetrica perché la chiave pubblica viene utilizzata per la crittografia e la chiave privata per la decrittografia e quella chiave privata è già stata utilizzata per firmare digitalmente il certificato CA (sono errato ?).

Nella mia domanda ho preso GeoTrust come CA e Google come dominio solo per un esempio perché so che ci sono altre CA come VeriSign, Symantec ecc.

    
posta defalt 14.09.2016 - 05:25
fonte

2 risposte

5

In teoria, una CA non vede nemmeno la chiave privata del certificato emesso. Per ottenere un certificato emesso prima si crea una coppia di chiavi e in base a questa coppia di chiavi una richiesta di firma del certificato (CSR). Questo CSR include solo la chiave pubblica, non la chiave privata. Questo CSR viene quindi utilizzato dalla CA per creare un certificato firmato che include la chiave pubblica. Non è necessario che una CA abbia accesso alla chiave privata del nuovo certificato in qualsiasi momento.

In pratica, alcune CA consentono all'utente di creare la coppia di chiavi online e potrebbero quindi in teoria avere accesso alla chiave privata perché controllano il codice su come viene generata la chiave. Questo è solo per rendere più facile per gli utenti tecnici meno capaci. Ma probabilmente nessuna CA richiede all'utente di procedere in questo modo, cioè offre un modo per creare la chiave in privato e caricare solo il CSR.

    
risposta data 14.09.2016 - 06:23
fonte
1

But on issuing a certificate for a domain, does CA also provide private key to that domain for whom the CA certificate is being issued and digitally signed?

No. La chiave privata non lascia mai (almeno in teoria non dovrebbe mai lasciare) il server / organizzazione che ha richiesto la firma del certificato. Né la chiave è fornita da una CA.

Il ruolo di CA è assicurare che una chiave pubblica appartenga all'entità legittima. CA non gestisce le chiavi private.

La chiave privata è privata e non è necessario dimostrare di possedere la chiave privata, perché è ... privata.

Tu (come persona o server) mandi un messaggio crittografato e lungo il messaggio cifrato mi dai la chiave pubblica corrispondente (in un certificato).

I non serve per confermare che hai la chiave privata , perché ciò è garantito dal fatto che posso decodificare il messaggio con la chiave pubblica (e il mio fidati del fatto che hai mantenuto privata la chiave privata.

I bisogno per confermare che la chiave pubblica appartiene a te (una persona o un server). Questo è il ruolo di CA: garantisce che la chiave pubblica nel certificato appartenga davvero a te.

    
risposta data 14.09.2016 - 06:22
fonte

Leggi altre domande sui tag

Insecure (interrotto) https solo in chrome Crittografia della risposta dell'API in un'applicazione singola