1. дома
  2. Вопрос и ответ
  3. Подписи сертификатов SSL

Подписи сертификатов SSL

2012-06-21 2 views
3

Я читал техническую информацию о том, как работает SSL (что было неожиданно трудно найти внутри океана неспециалистов/нетехнических статей/учебников/видео). У меня есть 3 небольших вопросы, которые и сами по себе было слишком мало, чтобы загромождать SO с, но в целом я думаю, предоставить некоторое представление о том, как SSL работа и решение вопросов, которые, кажется, не быть хорошо документированы:Подписи сертификатов SSL

  1. Почему (не , когда или как!) Срок действия сертификатов SSL? Это просто пары открытого/закрытого ключей, работающие на шифре/алгоритме, таком как AES. Я предполагаю, что здесь есть финансовый/бизнес-стимул?!?

  2. Сколько сертификатов SSL требуется организации? И прежде чем вы скажете «что зависит от вашей организации», я полагаю, что в основе этого вопроса лежит , какие факторы вождения заставляют компанию говорить, о, я думаю, нам понадобится еще cert, или еще 10 сертификаты и т. д. Другими словами: Почему 1 сертификат часто не достаточен для организации?

  3. Почему компания запрашивает у CA корневой сертификат, а затем получает дочерние сертификаты от этого корня? Какие преимущества дает это «Дерево сертификатов»? (В отличие от получения отдельных сертификатов)?

Заранее благодарен!

источник

2012-06-21 IAmYourFaja

+1

Вы также можете быть заинтересованы в [это] (http://security.stackexchange.com/q/6737/2435) и [это] (http://security.stackexchange.com/a/13690/2435) , (Существует ряд вопросов по [ssl tag] (http://security.stackexchange.com/questions/tagged/ssl) на Security.SE, которые могут быть актуальны, по сути.) – Bruno

ответ

8

1) Почему сертификаты SSL истекают?

Когда срок действия сертификата истекает, вы в основном говорите, что эта открытая/закрытая ключевая пара была оставлена. Технически вы все равно можете использовать этот сертификат для шифрования данных, но дата истечения срока действия заключается в смягчении рекогносцировки между прочим. Кроме того, однако, в X.509 спецификациях есть конкретные причины, изложенные по истечению:

4.1.2.5 Validity 

The certificate validity period is the time interval during which the 
CA warrants that it will maintain information about the status of the 
certificate.

УЦ публикует информацию о состоянии отзыва о сертификате, и это означает, что они должны следить за ними. Когда срок действия сертификата истекает, ЦС выполнил свою часть на срок действия сертификата и прекратил отслеживать информацию для этого сертификата. Вы, по сути, платите ЦС, чтобы сказать с полномочиями, что этот сертификат действителен.

Есть и другие причины для истечения срока. Если бы я все еще пользовался сертификатом, подписанным в 2002 году (что было бы возможно), уровень шифрования, вероятно, не соответствовал бы стандартам, используемым сегодня. Установив конечную точку для сертификата, вы также устанавливаете дату, которую необходимо обновить.

Теперь, конечно, я не думаю, что вы можете отрицать, что один из самых больших мотиваторов, стоящих за истечением срока, - деньги [править], но позади есть хотя бы некоторые технические и разумные идеи.

2) Сколько сертификатов SSL требуется организации или какие факторы движения помогают им решить?

Это зависит от вашей организации. Традиционный сертификат SSL сопоставляется с доменным именем.Тем не менее, все может быть подписано с помощью пары ключей (сертификаты разработчика и т. Д.). Таким образом, для SSL это будет зависеть от количества доменов, которые вы хотите защитить. Для традиционного сертификата www.domain.com и example.domain.com являются совершенно разными объектами. Существуют и другие типы сертификатов, которые можно приобрести, например, подстановочные сертификаты и т. Д., Которые будут зависеть от потребностей вашего бизнеса. Серьезно, вы можете стать невероятно сложным или невероятно простым. Вот краткое изложение на некоторых из основных и различных типов для защиты веб-сайт: SSL Certificate Types

3) Какие преимущества [имея] «Certificate Tree» обеспечить, а не просто получать отдельные сертификаты?

Вы в основном говорите, что доверяете этому ЦС генерировать сертификаты. Вот почему браузеру необходимо установить корневой ЦС для принятия сертификата. Они говорят: «Я доверяю, что этот орган только подписал сертификаты для достоверных и надежных источников».

На практике это заканчивается тем, что многие ЦС строго не проверяют, кому они выдают сертификаты до выдачи. Не всегда, но это смягчает некоторую опасность. Проблема заключается в том, что закрытый ключ CA корневого сертификата скомпрометирован, потому что тогда любой может подделать законный сертификат.

Надеюсь, это ответит на некоторые из ваших вопросов.

источник

2012-06-21 17:35:13 lewiguez

+0

Wow - отличный ответ @lewisguez ! (+1) Quick followup: на # 3 (корневые сертификаты), это «Дерево сертификатов» (корень и все его дети) должно поступать из одного и того же ЦС? Если это так, я думаю, это имеет смысл для меня. В этом смысле CA видит вас как учетную запись и дает вам корневой сертификат по первому запросу. Затем, покупая у них последующие сертификаты, они просто повторно используют ключи/шифрование на дочерних сертификатах для этого корня, поскольку вы являетесь одной и той же учетной записью. Это справедливая оценка, или я вне базы здесь? Еще раз спасибо! – IAmYourFaja

+0

Не совсем. Когда срок действия сертификата истекает, вы говорите, что связь между этим сертификатом и этим идентификатором и этим закрытым ключом истекла. Нет никаких сомнений в том, что срок действия закрытого ключа истек. Вы можете создать новый CSR из того же закрытого ключа, получить его под подписку и * альт! * Новый сертификат. – EJP

+0

@EJP Это хороший момент, и повторный мой ответ действительно так говорит. Это звучало по-другому в моей голове, когда я набрал его! Я отредактирую его, чтобы отразить то, что вы сказали, как только я не набираю телефон. – lewiguez

Смежные вопросы

 Смежные вопросы