¿Un navegador tiene que realizar varias solicitudes para verificar una cadena de certificados SSL?

Question

¿Un navegador tiene que realizar varias solicitudes para verificar una cadena de certificados SSL?

#1 de gowenfawr (6 votos)

4

Me he enterado de que los certificados SSL se pueden encadenar, y el navegador utilizará la clave pública del emisor para verificar la firma del emisor. He leído este artículo, que tiene un diagrama muy útil, pero no responde a mi pregunta específica. marco del certificado SSL 101: cómo ¿Verifica realmente el navegador la validez de un certificado de servidor dado?

En el caso de una cadena de certificados de 5 niveles, el navegador:

¿Obtener los primeros 4 certificados en una sola solicitud al sitio web original?
- ¿Son 4 archivos separados o 1 archivo que contiene los 4 certificados?
¿O puede obtener un certificado a la vez después de procesar cada uno (4 solicitudes separadas)?
- Si cada emisor es de un dominio diferente, ¿el navegador obtiene los certificados de 4 dominios diferentes o solo del sitio web original?
¿O algún otro método?

web-browser digital-signature tls certificates

pregunta wisbucky 03.03.2015 - 03:37

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-browser digital-signature tls certificates

¿Por qué un escaneo de nmap da resultados diferentes dependiendo de si se ejecuta desde dentro o fuera de una LAN? ¿Cómo otorgar derechos a un administrador del sistema en una aplicación?

score 6 · Accepted Answer

El servidor envía toda la cadena de certificados, hasta y posiblemente incluyendo el certificado raíz, todos a la vez como parte de Mensaje de protocolo de enlace TLS del servidor :

certificate_list

   This is a sequence (chain) of certificates.  The sender's
   certificate MUST come first in the list.  Each following
   certificate MUST directly certify the one preceding it.  Because
   certificate validation requires that root keys be distributed
   independently, the self-signed certificate that specifies the root
   certificate authority MAY be omitted from the chain, under the
   assumption that the remote end must already possess it in order to
   validate it in any case.

Es un mensaje TCP (potencialmente dividido en varios paquetes, pero reensamblado por el cliente en la pila TCP) desde el servidor al cliente.

El cliente debe tener el certificado raíz para consultar como una autoridad, y todos los demás certificados deben formar una cadena vinculada que va de la hoja a la raíz.