it-swarm-tr.com

Chrome ve Firefox SSL Sertifikalarını nasıl doğrulamaktadır?

Chrome ve Firefox SSL Sertifikalarını nasıl doğrular?) Web sunucusundan alınan sertifikayı doğrulamak için GeoTrust gibi bir SSL sertifika web sitesinden veri istiyorlar mı?

26
user1397542

Tarayıcılar ve/veya işletim sistemleri, bağlandıkları sunucuların sertifikalarını kontrol etmek için güven bağlantısı olarak kullanılan önceden tanımlanmış bir CA sertifikaları listesi ile birlikte gelir. Hepsi özelleştirilebilir (kök sertifikaların tarayıcıya sabit kodlandığı EV sertifikaları hariç, bunları devre dışı bırakabilirsiniz ... hata hariç).

Firefox tüm platformlarda kendi listesi öğesini kullanır.

Internet Explorer ve Chrome işletim sisteminin sertifika deposunu Windows'ta kullanır. Varsayılan, Microsoft --- Kök Sertifika programı aracılığıyla kullanılabilir.

Apple ayrıca programı .

Önceden bilinmeyen bir sunucu sertifikasına güvenmek, bu sertifika ile tarayıcının güven bağlantılarından biri arasında bir sertifika yolu oluşturarak yapılır. Bu, RFC 3280/RFC 5280'de tanımlandığı gibi yapılır.

Ayrıca, sertifika iptali de CRL veya OCSP yoluyla kontrol edilebilir.

Sertifika büyük olasılıkla tarayıcının önbelleğinde olduğundan, geçerli bir sertifikayı taklit etmek için tarayıcı ile CA arasındaki iletişimi kesmek mümkün değil mi?

Wug'un cevaplarına yorum yaptığım noktayı tekrarlamak için: güven tutturma havuzu bir önbellek değildir. Önbellek, kısa süre sonra tekrar gereksinim duyacağınız varsayımına dayanarak, yakın zamanda eriştiğiniz öğeleri elinizde tutmayı amaçlayan dinamik bir yer tutucudur. Buna karşılık, güvenilir sertifika listeniz hiçbir zaman o anda göz atmakta olduğunuz bilgilere göre otomatik olarak güncellenmemelidir. (Otomatik güvenlik güncellemeleriyle güncellenebilir, ancak bu farklı bir sorundur.)

Sunucu sertifikası, yeni bir SSL/TLS oturumu her kurulduğunda alınır ve tarayıcının her seferinde doğrulaması gerekir. Önbelleğe alınmamış. (Bazı OCSP önbelleklemeniz olabilir, ancak bu performansı artırmak ve yalnızca kısa bir süre için saklamaktır. Bu, erişim anında iptal durumunu doğrulamak içindir.)

CA ile iletişim kurmak yalnızca sertifika iptali içindir. Aksi takdirde bir CA ile iletişim kurmazsınız. CA sertifikaları (güvenilir bağlantılarınız) OS/tarayıcınız tarafından verilen belirli bir "inanç sıçraması" dır (açık bir şekilde seçebilirsiniz, ancak belirli bir bağlantı söz konusu olduğunda sabittir). En iyi ihtimalle sertifika iptal kontrolünün yapılmasını engelleyebilirsiniz (bu, tarayıcınızın ayarlarına bağlı olarak doğrulamasının başarısız olmasına neden olabilir).

16
Bruno

Web sunucusu, istek üzerine tüm sertifika zincirini istemciye gönderir. Tarayıcı (veya başka bir doğrulayıcı), yerel olarak saklanan CA sertifikalarına sahip zincirdeki en yüksek sertifikayı kontrol edebilir.

Çoğu işletim sistemi, tarayıcıların bu tür amaçlarla erişebileceği yetkili sertifikaların önbelleğini tutar, aksi takdirde tarayıcının bir yerde kendi ayarları vardır.

Sertifika, başka bir sertifika tarafından imzalanabilir ve genellikle GeoTrust, Verisign, Godaddy vb.

Bu güvenlik SE sitesi. için daha iyi bir soru olurdu.

Google Chrome, özellikle, işletim sistemi önbelleğini kullandığından% 100 emin değilim, ancak İngiliz anahtarı -> Ayarlar -> Gelişmiş Ayarları Göster -> HTTPS/SSL -> Sertifikaları Yönet -> Güvenilen Kök Sertifika Yetkilileri ve oraya yetkili bir CA sertifikası ekleyerek.

3
Wug

Wug'un açıkladığı gibi, doğrulama sunucu sertifikasından zincirdeki en yüksek sertifikaya kadar gerçekleşir. Tarayıcı sertifika özelliklerine bakacak ve URL'nin Issued to alanı, Issued By alanı Güvenilen Sertifika Yetkilisi içeriyorsa, son kullanma tarihi Valid From alanı vb.

Ayrıca her sertifika, Sertifika İptal Listeleri'ne işaret eden URL'ler içerir (CRL Distribution Points), istemci listeyi bu tür URL'den indirmeye ve eldeki sertifikanın iptal edilmemesini sağlamaya çalışır.

Sorunuzu cevaplamak için

Web sunucusundan alınan sertifikayı doğrulamak için GeoTrust gibi SSL Sertifikasyon web sitesinden veri istiyorlar mı?

Evet, tarayıcı temel doğrulama gerçekleştirir ve ardından sertifikanın hala iyi olduğundan emin olmak için CA yetkilisi sunucusuyla (CRL noktaları aracılığıyla) iletişim kurar.

3
Ulises

İşte sertifika vaildation almak benim. Web sertifikasının doğru ada sahip olduğu varsayılarak, tarayıcı imzalayıcının ortak anahtarını almak için web sunucusu sertifikasını imzalayan Sertifika Yetkilisini bulmaya çalışır. İmzalayan Sertifika Yetkilisi bir CA zincirinin parçası olabilir

Ortak anahtarla, web sunucusu sertifikasının bir karmasını ortaya çıkarmak için web sitesinin sertifikasındaki imzanın şifresi çözülebilir (bu, yalnızca CA'nın özel anahtarının güvenliği ihlal edilmedikçe imzalayabilmesini sağlar). Tarayıcı ayrıca web sunucusu sertifikasının karma değerini ve iki karma eşleşiyorsa Sertifika Yetkilisinin sertifikayı imzaladığını kanıtlar.

İmza sahibinin ortak anahtarı bulunamazsa veya karmalar eşleşmezse, sertifika geçersizdir.

Bu sistemdeki sorun, Sertifika Yetkililerinin tamamen güvenilir olmamasıdır.

1
Bill Laing

Google Chrome bir sertifikanın geçerli olup olmadığını kontrol etmek için 7 Şubat 2012'de CRL listelerini kullanmayı bıraktı. Görünüşe göre tarayıcıda tüm geçerli sertifikaları oluşturuyorlar ve tarayıcı güncellendi. URL'ye bakın: https://threatpost.com/en_us/blogs/google-stop-using-online-crl-checks-chrome-020712 .

0
Andrew Stern