Bagaimana cara kerja rantai SSL?

37

Mengapa otoritas sertifikat menengah diperlukan? Kapan sertifikat perantara digunakan? Bagaimana cara memverifikasi rantai dari sertifikat perantara ke sertifikat root? Apa contoh sertifikat menengah yang tertaut ke sertifikat root?

Kacang Kacang Tanah
sumber
6
Akan menghargai orang-orang yang berkomentar setidaknya sebelum pemungutan suara untuk menutup pertanyaan. Saya tidak tahu mengapa Anda ingin menutupnya misalnya itu duplikat, tidak masuk akal, dll
PeanutsMonkey
11
@ Linker3000 - Pertanyaannya tidak terbuka karena ada jawaban yang jelas juga tidak cerewet yaitu tidak dimaksudkan untuk membangkitkan percakapan. Ini untuk memahami cara kerja rantai SSL sehingga jika perlu muncul ketika menerapkan sertifikat SSL, hal itu dapat dilakukan dengan pemahaman dasar-dasar rantai SSL.
PeanutsMonkey

Jawaban:

48

Mengapa otoritas sertifikat menengah diperlukan? Kapan sertifikat perantara digunakan?

Terkadang, untuk melindungi kunci privat CA root, kunci tersebut disimpan di lokasi yang sangat aman dan hanya digunakan untuk menandatangani beberapa sertifikat perantara, yang kemudian digunakan untuk mengeluarkan sertifikat entitas akhir. Dalam hal kompromi, perantara dapat dicabut dengan cepat, tanpa harus mengkonfigurasi ulang setiap mesin untuk mempercayai CA baru.

Alasan lain yang mungkin adalah pendelegasian: misalnya, perusahaan seperti Google, yang sering menggunakan banyak sertifikat untuk jaringan mereka sendiri, akan memiliki CA perantara sendiri.

Bagaimana cara memverifikasi rantai dari sertifikat perantara ke sertifikat root?

Biasanya, entitas akhir (misalnya, server web SSL / TLS) memberi Anda seluruh rantai sertifikat, dan yang harus Anda lakukan hanyalah memverifikasi tanda tangan.

Yang terakhir dalam rantai itu adalah sertifikat root, yang sudah Anda tandai tepercaya.

Misalnya, ketika Anda memiliki rantai [pengguna] → [intermed-1] → [intermed-2] → [root] , verifikasi seperti ini:

  1. Apakah [pengguna] memiliki [intermed-1] sebagai "Penerbit"?

  2. Apakah [pengguna] memiliki tanda tangan yang valid dengan kunci [intermed-1] ?

  3. Apakah [intermed-1] memiliki [intermed-2] sebagai "Penerbit"?

  4. Apakah [intermed-1] memiliki tanda tangan yang valid dengan kunci [intermed-2] ?

  5. Apakah [intermed-2] memiliki [root] sebagai "Penerbit"?

  6. Apakah [intermed-2] memiliki tanda tangan yang valid dengan kunci [root] ?

  7. Karena [root] ada di bagian bawah rantai dan memiliki dirinya sebagai "Penerbit", apakah itu ditandai sebagai tepercaya?

Prosesnya persis sama sepanjang waktu; keberadaan dan jumlah CA perantara tidak masalah. Sertifikat pengguna dapat ditandatangani oleh root secara langsung, dan akan diverifikasi dengan cara yang sama.

Apa contoh sertifikat menengah yang tertaut ke sertifikat root?

Lihat informasi sertifikat https://twitter.com/ atau https://www.facebook.com/ untuk rantai yang berisi tiga atau empat sertifikat. Lihat juga https://www.google.com/ untuk contoh otoritas sertifikasi Google sendiri.

grawity
sumber
Terima kasih. Ketika Anda mengatakan delegasi, apa manfaatnya memiliki sertifikat perantara sendiri? Apakah itu juga berarti telah ditandatangani oleh otoritas sertifikat akar tepercaya lainnya? Saya telah melihat sertifikat Google tetapi tidak melihat rantai. Bisakah Anda mengunggah gambar yang Anda maksud?
PeanutsMonkey
Mereka tidak ditandatangani oleh otoritas sertifikat akar tepercaya lainnya, mereka ditandatangani oleh otoritas sertifikat akar tepercaya mereka. CA umum memiliki beberapa sistem berbeda yang dapat menandatangani sertifikat. Jika mereka semua benar-benar menggunakan kunci root, kompromi ke satu sistem akan menghancurkan seluruh CA dan membuat semua sertifikat mereka tidak dapat dipercaya.
David Schwartz
1
@ David Schwartz - Terima kasih. Jadi dalam kasus Google sebagai contoh, otoritas sertifikat root mereka adalah Equifax yang telah memberi mereka kemampuan untuk membuat sertifikat perantara. Apakah itu benar?
PeanutsMonkey
4
Itu betul. Kemungkinan besar, Equifax memegang kunci yang diperlukan untuk menandatangani sertifikat yang dikeluarkan oleh CA perantara, tetapi Google memiliki antarmuka untuk memungkinkan mereka menandatangani sertifikat tanpa campur tangan manusia dari pihak Equifax. Jika Google pernah melanggar hak istimewa, Equifax dapat menggunakan otoritas root mereka untuk mencabut CA otoritas perantara Google.
David Schwartz
Gunakan whatsmychaincert.com untuk membantu Anda mendeteksi masalah dan menghasilkan sertifikat rantai yang benar.
Ethan Allen