web-dev-qa-db-fra.com

Comment fonctionnent les chaînes SSL?

Pourquoi les autorités de certification intermédiaires sont-elles nécessaires? Quand utiliser un certificat intermédiaire? Comment vérifier la chaîne du certificat intermédiaire au certificat racine? Quels sont les exemples de certificats intermédiaires liés aux certificats racine?

37
PeanutsMonkey

Pourquoi les autorités de certification intermédiaires sont-elles nécessaires? Quand utiliser un certificat intermédiaire?

Parfois, pour protéger la clé privée de l'autorité de certification racine, celle-ci est stockée dans un emplacement très sécurisé et n'est utilisée que pour signer quelques certificats intermédiaires, qui sont ensuite utilisés pour émettre des certificats d'entité finale. En cas de compromis, les intermédiaires peuvent être révoqués rapidement, sans avoir à reconfigurer chaque ordinateur pour faire confiance à une nouvelle autorité de certification.

Une autre raison possible est la délégation: des sociétés telles que Google, qui utilisent souvent de nombreux certificats pour leurs propres réseaux, disposeront de leur propre autorité de certification intermédiaire.

Comment vérifier la chaîne du certificat intermédiaire au certificat racine?

En règle générale, l'entité finale (par exemple, un serveur Web SSL/TLS) vous fournit la chaîne de certificats complète. Il vous suffit de vérifier les signatures.

Le dernier de cette chaîne est le certificat racine, que vous avez déjà marqué comme approuvé.

Par exemple, lorsque vous avez une chaîne [utilisateur] → [intermed-1] → [intermed-2] → [racine], la vérification est la suivante:

  1. Est-ce que [utilisateur]a [intermed-1]comme "émetteur"?

  2. Est-ce que [utilisateur]a une signature valide avec la clé de [intermed-1]?

  3. Est-ce que [intermed-1]a [intermed-2]comme "émetteur"?

  4. Est-ce que la signature de [intermed-1]est valide avec la clé de [intermed-2]?

  5. Est-ce que [intermed-2]a [root]comme "émetteur"?

  6. Est-ce que [intermed-2]a une signature valide par la clé [racine]?

  7. Puisque [root]est au bas de la chaîne et s’est lui-même désigné comme "émetteur", est-il marqué comme fiable?

Le processus est exactement le même tout le temps; l'existence et le nombre d'AC intermédiaires importent peu. Le certificat d'utilisateur peut être signé directement par root et il sera vérifié de la même manière.

Quels sont les exemples de certificats intermédiaires liés aux certificats racine?

Voir les informations de certificat de https://Twitter.com/ ou https://www.facebook.com/ pour les chaînes contenant trois ou quatre certificats. Voir également https://www.google.com/ pour obtenir un exemple de la propre autorité de certification de Google.

48
grawity