¿Cómo funcionan las cadenas SSL?

37

¿Por qué se requieren autoridades de certificación intermedias? ¿Cuándo se usaría un certificado intermedio? ¿Cómo verifico la cadena desde el certificado intermedio hasta el certificado raíz? ¿Cuáles son ejemplos de certificados intermedios que enlazan con certificados raíz?

CacahuetesMonkey
fuente
66
Agradecería que la gente comentara al menos antes de votar para cerrar la pregunta. No tengo idea de por qué desea para cerrarla por ejemplo, es un duplicado, no tiene sentido, etc
PeanutsMonkey
11
@ Linker3000 - La pregunta no es abierta ya que claramente hay una respuesta ni es hablador, es decir, no tiene la intención de provocar una conversación. Es comprender cómo funcionan las cadenas SSL para que, si surge la necesidad de implementar certificados SSL, se pueda hacer con un entendimiento de los fundamentos de las cadenas SSL.
PeanutsMonkey

Respuestas:

48

¿Por qué se requieren autoridades de certificación intermedias? ¿Cuándo se usaría un certificado intermedio?

A veces, para proteger la clave privada de la CA raíz, se almacena en una ubicación muy segura y solo se utiliza para firmar algunos certificados intermedios, que luego se utilizan para emitir certificados de entidad final. En caso de compromiso, los intermedios se pueden revocar rápidamente, sin tener que reconfigurar cada máquina para confiar en una nueva CA.

Otra posible razón es la delegación: por ejemplo, empresas como Google, que a menudo usan muchos certificados para sus propias redes, tendrán una CA intermedia propia.

¿Cómo verifico la cadena desde el certificado intermedio hasta el certificado raíz?

Por lo general, la entidad final (por ejemplo, un servidor web SSL / TLS) le proporciona toda la cadena de certificados, y todo lo que tiene que hacer es verificar las firmas.

El último en esa cadena es el certificado raíz, que ya ha marcado como confiable.

Por ejemplo, cuando tiene una cadena [usuario] → [intermed-1] → [intermed-2] → [raíz] , la verificación es la siguiente:

  1. ¿El [usuario] tiene [Intermed-1] como su "Emisor"?

  2. ¿Tiene [usuario] una firma válida con la clave de [intermed-1] ?

  3. ¿El [Intermed-1] tiene [Intermed-2] como su "Emisor"?

  4. ¿Tiene [intermed-1] una firma válida con la clave de [intermed-2] ?

  5. ¿El [Intermed-2] tiene [root] como su "Emisor"?

  6. ¿Tiene [intermed-2] una firma válida con la clave de [root] ?

  7. Dado que [raíz] está en la parte inferior de la cadena y se presenta como "Emisor", ¿está marcado como confiable?

El proceso es exactamente el mismo todo el tiempo; la existencia y el recuento de AC intermedias no importa. El certificado de usuario puede ser firmado por root directamente, y se verificará de la misma manera.

¿Cuáles son ejemplos de certificados intermedios que enlazan con certificados raíz?

Consulte la información del certificado de https://twitter.com/ o https://www.facebook.com/ para conocer las cadenas que contienen tres o cuatro certificados. Consulte también https://www.google.com/ para ver un ejemplo de la propia autoridad de certificación de Google.

Gravedad
fuente
Gracias. Cuando dice delegación, ¿cómo ayuda tener sus propios certificados intermedios? ¿Significa también que ha sido firmado por otra autoridad de certificación raíz de confianza? Eché un vistazo al certificado de Google, sin embargo, no vi la cadena. ¿Puedes subir una imagen de lo que quieres decir?
PeanutsMonkey
No están firmados por otra autoridad de certificación raíz de confianza, están firmados por su autoridad de certificación raíz de confianza. Las CA típicas tienen varios sistemas diferentes que pueden firmar certificados. Si todos realmente usaran la clave raíz, un compromiso con un sistema destruiría toda la CA y haría que todos sus certificados no fueran confiables.
David Schwartz
1
@David Schwartz - Gracias. Entonces, en el caso de Google, como ejemplo, su autoridad de certificación raíz es Equifax, que les ha proporcionado la capacidad de crear certificados intermedios. ¿Está bien?
PeanutsMonkey
44
Eso es correcto. Lo más probable es que Equifax tenga la clave necesaria para firmar certificados emitidos por esa CA intermedia, pero Google tiene una interfaz que les permite firmar certificados sin intervención humana por parte de Equifax. Si Google alguna vez abusa del privilegio, Equifax puede usar su autoridad raíz para revocar la autoridad de CA intermedia de Google.
David Schwartz
Use whatsmychaincert.com para ayudarlo a detectar el problema y generar sus certificados de cadena correctos.
Ethan Allen