proceso de certificado digital SSL - nivel alto

0

Soy un administrador de proyectos y estoy tocando un proyecto de TI que consiste en la base de datos habitual de 3 niveles - web / client - middleware -.

En este caso, tengo un servidor web y necesito implementar la certificación SSL. Aunque esto no está en mi alcance, pero sentí que comprender todo el proceso será beneficioso para todos.

Entiendo el concepto de cifrado de clave pública y simétrica.

Entiendo el concepto de firma digital.

Pero no puedo poner toda la imagen juntos. Por lo tanto, discúlpeme por el largo post.

Aquí va,

  1. La razón completa de la certificación HTTP / SSL, si no me equivoco es para 2 propósitos

    • cifrado (para que los datos entre el cliente y el servidor web estén protegidos)
    • autenticación (de modo que "abc.com" es "abc.com")

¿verdad?

Para probar que "abc.com" es "abc.com", "abc.com" debe solicitar un certificado de una Autoridad de Certificación, que realizará verificaciones de antecedentes, etc. antes de emitir el certificado.

El certificado está firmado por CA.

  1. Por aquí, ya que el certificado está firmado digitalmente por la CA. Así que creo que se enviarán dos cosas al cliente cuando el cliente acceda al navegador

    • el certificado mismo
    • hash y firma digital del certificado.

¿verdad?

  1. Dado que el certificado está firmado por la CA (por ejemplo, Verisign), se cifra mediante su clave privada. Entonces, ¿dónde obtengo la clave pública de Verisign?
  1. Suponiendo que se obtiene la clave pública, la firma digital se descifra y el valor de hash coincide con el valor de hash del certificado,

El cliente utilizará la clave pública dentro del certificado (que pertenece a "abc.com") para cifrar sus datos y enviarlos a "abc.com".

¿verdad?

  1. Estos "datos" son en realidad parte de una negociación entre el cliente y el servidor web para el uso de una clave simétrica para la comunicación posterior.

Una vez que se establezca la clave simétrica en ambos lados, la comunicación posterior se cifrará utilizando esa clave simétrica y no la clave pública dentro del certificado.

¿verdad?

¿Estoy obteniendo esto en un nivel alto o estoy totalmente alejado?

(agregado)

Reflexionando, Cuando creamos un certificado autofirmado, ¿cómo "pasamos" la clave pública al cliente o a la persona que accede a nuestro sitio web? si la clave pública de la firma no se entrega al cliente - > ¿Es este el escenario en el que aparecerá una ventana emergente en el navegador del cliente y preguntará si "confiar" en el sitio web?

    
pregunta Noob 17.01.2016 - 18:49
fuente

2 respuestas

4
  1. A: Sólo autenticación. Todavía puede hacer cifrado "nulo" después, si lo desea. Pero si lo hace con un cifrado no nulo, entonces tendrá una idea de con quién está haciendo eso. Esa es la parte de autenticación. - Solía haber un momento en el que SGC, Criptografía cerrada por servidor, era una cosa. Un bit adicional en el certificado permitiría o no permitiría cualquier cifrado decente más fuerte que el tamaño de "exportación" de 40 bits. Hoy en día esto ya no existe y los certificados NO tienen nada que ver con la fuerza o el tipo de cifrado que ocurre.

  2.   

    se enviarán dos cosas al cliente cuando éste acceda al navegador

    Casi. El servidor debe enviar su propio certificado y la cadena de certificados de firma. Todo el camino hasta una CA raíz. (El envío del certificado CA raíz en sí mismo es opcional y puede omitirlo).

  3.   

    Entonces, ¿dónde obtengo la clave pública de Verisign?

    En su sitio web. Pero la idea real es que no necesitas hacer esto. La idea es que cualquier software de cliente que utilice ya incluya certificados de autoridades de certificación "confiables". Microsoft, Mozilla, Apple, Java mantienen sus propios "almacenes de confianza de certificados".

  4. Tipo de. La firma se verifica (no se "descifra") y usted usa la clave pública desde el certificado.

  5. Lo suficientemente cerca.

Lectura adicional:

respondido por el StackzOfZtuff 17.01.2016 - 20:15
fuente
0

Para responder el tercer trimestre, la clave pública de Verisign (en realidad, su certificado raíz) se incluye en su navegador web, junto con muchos otros certificados raíz.

    
respondido por el Mike Scott 17.01.2016 - 18:53
fuente