¿Por qué un certificado SSL hecho por sí mismo no puede tener una firma falsa? [duplicar]

4

Déjame explicarte lo que quiero decir. He leído ¿Por qué es difícil falsificar el certificado SSL y mi pregunta? Es una especie de paso más allá de eso. Si alguna persona aleatoria crea un certificado, ¿qué les impide crear el certificado de manera que afirme que está certificado por una autoridad de certificación confiable? ¿Cuál es el proceso real de crear un certificado? Supongo que es más complicado que llamar a una función y pasarle los argumentos de "sitio web", "propietario", "verificado por". ¿Un navegador web realiza algún hash en algún lugar que pueda verificar que el certificado es auténtico?

    
pregunta Celeritas 01.12.2015 - 09:18
fuente

1 respuesta

4

Los certificados utilizan un algoritmo de firma digital, basado en la criptografía asimétrica. Por lo tanto, implica un par de claves (público / privado).

La idea global es que el certificado debe estar firmado por alguien (generalmente una CA). La firma es una operación criptográfica que se puede hacer si conoce la clave privada. Se puede verificar la firma si conoce la clave pública correspondiente a la privada.

Entonces, cuando obtiene un certificado, hay una firma digital con él, y se supone que ya conoce la clave pública de CA (signo global en su ejemplo).

El proceso de verificación garantiza que la firma haya sido realizada por alguien que conoce la clave privada correspondiente a la clave pública que usted conoce.

Se supone que una CA no debe permitir que nadie conozca su clave privada.

Así que nadie puede falsificar una firma de CA, a menos que haya logrado obtener la clave privada.

Para ser más precisos, la firma es:

  • hash el certificado

  • cifre el hash con la clave privada

La verificación es entonces

  • descifrar la firma

  • hash el certificado

  • compara los resultados

Si los resultados no son los mismos, significa que la firma es falsa (hecha sin la clave privada) o que la información del certificado se modificó después de la firma. Los mismos resultados significan que el certificado es válido.

    
respondido por el Romain Clair 01.12.2015 - 12:02
fuente

Lea otras preguntas en las etiquetas