Verificar el certificado intermedio TLS

3

En la respuesta a la pregunta "Cómo se verifica la cadena de certificados TLS" se menciona que los certificados intermedios involucrados son "recuperado y validado". ¿Cómo se hace eso exactamente?

Específicamente:

  • Por lo tanto, sé que los certificados intermedios se pueden almacenar localmente en un cliente o que el servidor los entrega. ¿Son estas dos fuentes de confianza iguales? ¿Tiene que obtener el intermediario de un servidor que es propiedad y está operado por CA raíz o firma CA?

  • Cuando se verifica un certificado intermedio, ¿el cliente se conecta al dominio del propietario del certificado intermedio para validar el certificado contra el dominio en vivo? ¿O un algoritmo de solo local haría todo el trabajo hasta el certificado raíz?

pregunta minghua 09.04.2017 - 00:16
fuente

1 respuesta

3

El sistema que está verificando la cadena de certificados tiene un almacén local de certificados de CA raíz. Las claves privadas asociadas con estos certificados se utilizan para firmar certificados intermedios. Las claves privadas de los intermediarios se utilizan a su vez para firmar los certificados que se emiten a los servidores. Al obtener la cadena de certificados de un servidor (se puede solicitar la cadena completa a un servicio correctamente configurado) esta cadena se recorre, verificando las firmas de la cadena, hasta una CA raíz que se encuentra en el almacén local del sistema.

Si se falsificó un certificado intermediario, la firma de la CA raíz que lo firmó (contenida en el certificado intermediario) no será válida y la cadena se romperá.

    
respondido por el Joshua Gimer 09.04.2017 - 00:42
fuente

Lea otras preguntas en las etiquetas