Mengapa otoritas sertifikat menengah diperlukan? Kapan sertifikat perantara digunakan? Bagaimana cara memverifikasi rantai dari sertifikat perantara ke sertifikat root? Apa contoh sertifikat menengah yang tertaut ke sertifikat root?
37
Jawaban:
Terkadang, untuk melindungi kunci privat CA root, kunci tersebut disimpan di lokasi yang sangat aman dan hanya digunakan untuk menandatangani beberapa sertifikat perantara, yang kemudian digunakan untuk mengeluarkan sertifikat entitas akhir. Dalam hal kompromi, perantara dapat dicabut dengan cepat, tanpa harus mengkonfigurasi ulang setiap mesin untuk mempercayai CA baru.
Alasan lain yang mungkin adalah pendelegasian: misalnya, perusahaan seperti Google, yang sering menggunakan banyak sertifikat untuk jaringan mereka sendiri, akan memiliki CA perantara sendiri.
Biasanya, entitas akhir (misalnya, server web SSL / TLS) memberi Anda seluruh rantai sertifikat, dan yang harus Anda lakukan hanyalah memverifikasi tanda tangan.
Yang terakhir dalam rantai itu adalah sertifikat root, yang sudah Anda tandai tepercaya.
Misalnya, ketika Anda memiliki rantai [pengguna] → [intermed-1] → [intermed-2] → [root] , verifikasi seperti ini:
Apakah [pengguna] memiliki [intermed-1] sebagai "Penerbit"?
Apakah [pengguna] memiliki tanda tangan yang valid dengan kunci [intermed-1] ?
Apakah [intermed-1] memiliki [intermed-2] sebagai "Penerbit"?
Apakah [intermed-1] memiliki tanda tangan yang valid dengan kunci [intermed-2] ?
Apakah [intermed-2] memiliki [root] sebagai "Penerbit"?
Apakah [intermed-2] memiliki tanda tangan yang valid dengan kunci [root] ?
Karena [root] ada di bagian bawah rantai dan memiliki dirinya sebagai "Penerbit", apakah itu ditandai sebagai tepercaya?
Prosesnya persis sama sepanjang waktu; keberadaan dan jumlah CA perantara tidak masalah. Sertifikat pengguna dapat ditandatangani oleh root secara langsung, dan akan diverifikasi dengan cara yang sama.
Lihat informasi sertifikat https://twitter.com/ atau https://www.facebook.com/ untuk rantai yang berisi tiga atau empat sertifikat. Lihat juga https://www.google.com/ untuk contoh otoritas sertifikasi Google sendiri.
sumber