Tengo un par de preguntas sobre el proceso de conexión SSL entre el cliente y el servidor.
1) Durante el proceso de conexión, el servidor envía su certificado al cliente. El certificado contiene su clave pública y firma digital. ¿Cómo se forma esta firma digital? ¿Es estático o se genera independientemente para cada conexión?
2) Cuando el cliente recibe esta firma digital, tiene que descifrarla. ¿Qué clave pública se utiliza para ello? ¿Clave pública del servidor o clave pública de la CA?
1) Durante el proceso de conexión, el servidor envía su certificado al cliente. El certificado contiene su clave pública y firma digital. ¿Cómo se forma esta firma digital? ¿Es estático o se genera de forma independiente para cada conexión?
La firma digital contenida en el certificado enviado por el servidor es generada por una CA raíz en la que el cliente confía (su navegador). Esto significa que una Autoridad de certificación en la que confía ha firmado el certificado que está validando. En el mundo real, una CA raíz firma un certificado CA intermedio que firma el certificado del servidor. La firma digital es un Hash del certificado del servidor firmado con la clave privada de la CA.
2) Cuando el cliente recibe esta firma digital, tiene que descifrarla. ¿Qué clave pública se utiliza para ello? ¿Clave pública del servidor o clave pública de la CA?
Este proceso se llama Verificación de la cadena de certificados . Verifique la firma digital del certificado del servidor utilizando la clave pública de la CA que tiene firmado el certificado del servidor. Si es correcto, ahora debe verificar la firma digital de esa CA con la clave pública de la siguiente CA, hasta que llegue a la CA raíz en la que debe confiar para validar correctamente el certificado (junto con otras comprobaciones que se realizan) .
Lea otras preguntas en las etiquetas certificates