Cuando la CA de GeoTrust emite un certificado para el dominio Google, ¿también proporciona una clave privada a Google mediante la cual el certificado está firmado digitalmente?

0

Ya he abordado este enlace ¿Cómo funciona SSL / TLS? antes de publicar mi pregunta, pero no pude encontrar lo que pregunto aquí, así que no es una pregunta duplicada.

GeoTrust es una entidad de certificación que emite certificados firmados digitalmente a dominios registrados. Cada año se emiten millones de certificados para dominios registrados. Pero al emitir un certificado para un dominio, ¿CA también proporciona una clave privada para ese dominio para el cual el certificado de CA se emite y firma digitalmente? ¿Las claves pública y privada de un dominio particular coinciden con otros dominios?

Si CA mantiene la clave privada como secreta mientras firma el certificado, entonces la forma en que los servidores descifran la clave simétrica porque la clave pública se usa para el cifrado y la clave privada para el descifrado y esa clave privada ya se ha utilizado para firmar digitalmente el certificado de CA (¿Estoy equivocado? ?).

En mi pregunta, he tomado a GeoTrust como CA y a Google como dominio solo por un ejemplo porque sé que hay otras CA como VeriSign, Symantec, etc.

    
pregunta defalt 14.09.2016 - 05:25
fuente

2 respuestas

5

En teoría, una CA ni siquiera ve la clave privada del certificado que emite. Para obtener un certificado emitido, primero se crea un par de claves y, en base a este par de claves, una solicitud de firma de certificado (CSR). Este CSR solo incluye la clave pública, no la clave privada. Este CSR es utilizado por la CA para crear un certificado firmado que incluye la clave pública. No es necesario que una CA tenga acceso a la clave privada del nuevo certificado en ningún momento.

En la práctica, algunas CA permiten al usuario crear el par de claves en línea y, por lo tanto, en teoría podrían tener acceso a la clave privada porque controlan el código de cómo se genera la clave. Esto es solo para facilitarlo a los usuarios menos capacitados. Pero probablemente ninguna CA requiere que el usuario proceda de esta manera, es decir, ofrecen una forma de crear la clave en privado y solo cargar la CSR.

    
respondido por el Steffen Ullrich 14.09.2016 - 06:23
fuente
1
  

Pero al emitir un certificado para un dominio, ¿CA también proporciona una clave privada para ese dominio para el cual el certificado de CA se está emitiendo y firmando digitalmente?

No. La clave privada nunca deja (al menos en teoría nunca debería dejar) el servidor / organización que solicitó la firma del certificado. Tampoco la clave es proporcionada por una CA.

El rol de CA es asegurar que una clave pública pertenezca a la entidad legítima. CA no se ocupa de las claves privadas.

La clave privada es privada y no es necesario demostrar que eres el propietario de la clave privada, porque es ... privada.

Usted (como persona o servidor) me envía un mensaje cifrado y, junto con el mensaje cifrado, me proporciona la clave pública correspondiente (en un certificado).

No no necesito para confirmar que tiene la clave privada , porque eso se debe al hecho de que puedo descifrar el mensaje con la clave pública (y mi confía en que mantuviste la clave privada privada).

Necesito para confirmar que la clave pública le pertenece a usted (una persona o un servidor). Esa es la función de CA: confirma que la clave pública en el certificado realmente le pertenece a usted.

    
respondido por el techraf 14.09.2016 - 06:22
fuente

Lea otras preguntas en las etiquetas