¿Qué atributos en el asunto de un certificado X.509 de una autoridad de certificación se utilizan como el "identificador"?

1

He estado tratando de seguir las cadenas de certificados de sitios web aleatorios que visito y veo si efectivamente los encuentro en mi almacén de autoridad de certificados raíz de confianza de Windows 10. Casi nunca encuentro una coincidencia exacta, especialmente con el atributo de Nombre común "CN". Entonces, ¿cuál de los atributos sujeto p. Ej. (CN, OU, O, L, S, C, etc.) usa su navegador para decir "Oh, este certificado fuera de la cadena de certificados de confianza, coincide con este particular? una que ya he instalado y confío "?

    
pregunta Ultratrunks 01.01.2018 - 15:52
fuente

1 respuesta

3

El sujeto completo del certificado del emisor debe coincidir con el atributo del emisor completo del certificado emitido.

  

Casi nunca encuentro una coincidencia exacta, especialmente con el atributo de Nombre común "CN".

Mi conjetura es que usted mira al emisor del certificado del servidor y luego trata de encontrar la CA raíz que coincida. Pero normalmente hay una CA intermedia entre el certificado del servidor y la CA raíz. Esto significa que el emisor del certificado del servidor es la CA intermedia y el emisor de la CA intermedia es la CA raíz.

En otras palabras: el certificado de servidor no es emitido directamente por la CA raíz. Por lo tanto, el emisor del certificado de servidor no es el sujeto de la CA raíz. Y no puede encontrar la CA raíz con solo mirar al emisor de certificados del servidor.

En su lugar, debe tener explícitamente en cuenta los certificados intermedios. Por ejemplo:

Certificado de servidor de security.stackexchange.com:

subject: /C=US/ST=NY/L=New York/O=Stack Exchange, Inc./CN=*.stackexchange.com
issuer:  /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA

Certificado intermedio: el asunto coincide con el emisor del certificado del servidor:

subject: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
issuer:  /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA

CA raíz: el sujeto coincide con el emisor del certificado intermedio:

subject: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
issuer:  /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA

Para obtener más información, consulte también SSL Certificate framework 101: ¿Cómo verifica realmente el navegador la validez de un certificado de servidor dado?

    
respondido por el Steffen Ullrich 01.01.2018 - 16:44
fuente

Lea otras preguntas en las etiquetas