Comment fonctionnent les chaînes SSL?


37

Pourquoi les autorités de certification intermédiaires sont-elles nécessaires? Quand utiliser un certificat intermédiaire? Comment vérifier la chaîne du certificat intermédiaire au certificat racine? Quels sont les exemples de certificats intermédiaires liés aux certificats racine?


6
J'apprécierais au moins les commentaires avant de voter pour clore la question. Je ne sais pas du tout pourquoi vous voudriez le fermer, par exemple si c'est un doublon, ça n'a aucun sens, etc.
PeanutsMonkey

11
@ Linker3000 - La question n'est pas ouverte car il y a clairement une réponse, elle n'est pas bavarde, c'est-à-dire qu'elle n'a pas pour but de susciter une conversation. Il s'agit de comprendre le fonctionnement des chaînes SSL afin que, si la mise en œuvre de certificats SSL soit nécessaire, il soit possible de le faire en comprenant mieux les fondements des chaînes SSL.
PeanutsMonkey

Réponses:


48

Pourquoi les autorités de certification intermédiaires sont-elles nécessaires? Quand utiliser un certificat intermédiaire?

Parfois, pour protéger la clé privée de l'autorité de certification racine, celle-ci est stockée dans un emplacement très sécurisé et n'est utilisée que pour signer quelques certificats intermédiaires, qui sont ensuite utilisés pour émettre des certificats d'entité finale. En cas de compromis, les intermédiaires peuvent être révoqués rapidement, sans avoir à reconfigurer chaque ordinateur pour faire confiance à une nouvelle autorité de certification.

Une autre raison possible est la délégation: des sociétés telles que Google, qui utilisent souvent de nombreux certificats pour leurs propres réseaux, disposeront de leur propre autorité de certification intermédiaire.

Comment vérifier la chaîne du certificat intermédiaire au certificat racine?

En règle générale, l'entité finale (par exemple, un serveur Web SSL / TLS) vous fournit la chaîne de certificats complète. Il vous suffit de vérifier les signatures.

Le dernier de cette chaîne est le certificat racine, que vous avez déjà marqué comme approuvé.

Par exemple, lorsque vous avez une chaîne [utilisateur] → [intermed-1] → [intermed-2] → [racine] , la vérification est la suivante:

  1. Est-ce que [utilisateur] a [intermed-1] comme "émetteur"?

  2. Est-ce que [utilisateur] a une signature valide par la clé de [intermed-1] ?

  3. Est - ce que [intermed-1] a [intermed-2] comme son "émetteur"?

  4. Est - ce que [intermed-1] a une signature valide par la clé de [intermed-2] ?

  5. [Intermed-2] a - t - il [racine] comme "émetteur"?

  6. Est - ce que [intermed-2] a une signature valide par la clé de [root] ?

  7. Puisque [root] est au bas de la chaîne et s’est lui-même désigné comme "émetteur", est-il marqué comme fiable?

Le processus est exactement le même tout le temps; l'existence et le nombre d'AC intermédiaires importent peu. Le certificat d'utilisateur peut être signé directement par root et il sera vérifié de la même manière.

Quels sont les exemples de certificats intermédiaires liés aux certificats racine?

Voir les informations de certificat de https://twitter.com/ ou https://www.facebook.com/ pour les chaînes contenant trois ou quatre certificats. Voir également https://www.google.com/ pour obtenir un exemple de la propre autorité de certification de Google.


Merci. Lorsque vous parlez de délégation, en quoi cela aide-t-il d'avoir ses propres certificats intermédiaires? Cela signifie-t-il également qu'il a été signé par une autre autorité de certification racine de confiance? J'ai jeté un œil au certificat de Google mais je n'ai pas vu la chaîne. Pouvez-vous s'il vous plaît télécharger une image de ce que vous voulez dire?
PeanutsMonkey

Ils ne sont pas signés par une autre autorité de certification racine de confiance, ils le sont par leur autorité de certification racine de confiance. Les autorités de certification classiques ont plusieurs systèmes différents pouvant signer des certificats. S'ils utilisaient tous la clé racine, un compromis sur un système détruirait la totalité de l'autorité de certification et rendrait tous leurs certificats peu fiables.
David Schwartz

1
@ David Schwartz - Merci. Ainsi, dans le cas de Google, par exemple, leur autorité de certification racine est Equifax, qui leur a fourni la possibilité de créer des certificats intermédiaires. Est-ce correct?
PeanutsMonkey

4
C'est correct. Equifax détient très probablement la clé nécessaire pour signer les certificats émis par cette autorité de certification intermédiaire, mais Google dispose d'une interface lui permettant de signer des certificats sans intervention humaine de la part d'Equifax. Si Google abuse de ce privilège, Equifax peut utiliser son autorité racine pour révoquer son autorité de certification intermédiaire.
David Schwartz

Utilisez whatsmychaincert.com pour vous aider à détecter le problème et générer vos certificats de chaîne corrects.
Ethan Allen
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.