EDITAR: Consulte aquí: ¿Cómo funciona SSL / TLS? O Aquí certificado autofirmado: cómo funciona
No entiendo, cuando firmé el certificado por CA, el protocolo es el siguiente: el cliente envía Hola al servidor --- El servidor envía el saludo y el certificado al cliente --- El cliente verifica el certificado con una CA y envía la confirmación al servidor --- Finalmente el servidor envía la confirmación firmada al cliente. - juve164 14 de junio de 14 a las 12:15
¿Qué sucede con un certificado autofirmado? El cliente envía el saludo al servidor. El servidor envía el certificado al cliente y el cliente verifica el certificado, pero ¿cómo? comparar si es el mismo certificado ??? - juve164 14 de junio de 14 a las 12:23
Pongamos algo de perspectiva en esto. Certificado de usuario de clave pública de citoprografía. Esto significa que una clave pública y una clave privada se generan simultáneamente y se unen matemáticamente. Solo esta clave privada funciona con esta clave pública y viceversa.
Cuando introduce un certificado, no es más que una "hoja de papel con una firma". Esa firma es de la clave privada. Esto solo proporciona una referencia para el uso de la clave; también conocido como google.com.
Apretón de manos TLS:
C ClientHello: Este es el comienzo, estamos hablando con un servidor para que podamos iniciar el proceso TLS.
S ServerHello: el servidor responde para reconocer que estamos hablando en TLS ahora.
S Certificado: Esta es una copia del certificado que está instalado en el servidor.
S ServerKeyExchange: Esto es parte del protocolo utilizado para permitir que ambos dispositivos lleguen a la misma clave simétrica para usar después del protocolo de enlace TLS
S Solicitud de certificado: solo se utiliza si el servidor desea verificar el cliente con un certificado. Esto se puede transmitir como una forma de autenticación.
S ServerHelloDone: El servidor está listo y es parte del protocolo de enlace TLS.
C Certificado: Solo se proporciona si es necesario; vea la solicitud de certificado arriba.
C ClientKeyExchange: es el complemento de ServerKeyExchange para asegurarse de que ambas partes tengan una clave simétrica.
C CertificateVerify: parte de CertificateRequest y TLS del lado del cliente.
C ChangeCipherSpec: Esto suele indicar que hemos terminado con todo y estamos "listos para comenzar a hablar con el cifrado".
C Finalizado: Este es el final del lado del cliente.
S ChangeCipherSpec: El servidor está de acuerdo con la especificación de cifrado.
S Finalizado: Todo está listo y ahora estamos totalmente encriptados.
En este proceso, el certificado que enviará el servidor será el configurado en el servidor. Si esto está firmado por una CA, normalmente incluiría el certificado de hoja (el que tiene el nombre de dominio), su autoridad de firma inmediata y el padre de esa autoridad de firma (y así sucesivamente si corresponde). Por lo tanto, Certificate
normalmente incluiría 3 certificados físicos.
El cliente mira al emisor en el certificado de hoja y comienza a seguir la cadena de respaldo. El Intermedio tiene un emisor (que es la CA raíz) y, por lo tanto, verificará ese certificado. La CA raíz es un certificado de autofirma. Es un certificado donde su propia clave privada firmó el certificado, no otra entidad. Mientras el cliente confíe en la CA raíz, confiará en el intermediario, lo que a su vez significa que confiará en la hoja.
Con un certificado autofirmado en el servidor, solo hay un certificado emitido para que el cliente lo verifique. Mirará al emisor del certificado y se asegurará de que esté firmado por sí mismo. Mientras el cliente confíe en esa CA, confiará en la conexión y continuará.
Todos los CA raíz son autofirmados. La única razón por la que su computadora confía en ellos es porque están configurados en su computadora para que sean confiables.
enlace