it-swarm.dev

Che cos'è un percorso di certificazione nel certificato SSL?

Ho cercato di saperne di più sui certificati digitali negli ultimi giorni e sto lottando per capire come effettivamente questo concetto viene applicato nel mondo reale.

Ad ogni modo, mentre visitavo il sito Web https://google.com, Ho deciso di visualizzare le informazioni sul sito e ho trovato queste informazioni chiamate percorso di certificazione. Ecco come appariva:

enter image description here

La domanda che volevo davvero porre è che cosa è esattamente questo percorso di certificazione? Mostra la gerarchia dei certificati?

Quello che ho capito:

  • La CA globale di GeoTrust è la CA principale qui.
  • Google Internet Authority G2 è la CA intermedia e il suo certificato è firmato dalla CA principale .
  • Pertanto, Google Inc. qui funge da CA e utilizza un Certificato autofirmato qui.

Qualcuno può spiegare cosa sta realmente succedendo qui? Inoltre, sentiti libero di fornire qualsiasi riferimento o buona lettura relativa a questo concetto.

11
Rahil Arora

Questa schermata mostra la catena di fiducia. Questo è un elenco di chi offre la prova firmata che la chiave è valida come promesso.

  • il certificato di www.google.com (nella parte inferiore della catena) è firmato da "Google Internet Authority G2". Questo è chiamato un certificato di funzionamento o il certificato dell'entità finale. Ha un flag di utilizzo della chiave che indica che la chiave può essere utilizzata per la "codifica della chiave" (che significa proteggere una connessione SSL) e un flag che dice che non può essere attendibile per firmare le chiavi. Inoltre, questo certificato può essere considerato attendibile solo per le connessioni a www.google.com, come indicato nel valore CN dell'oggetto.

  • Il certificato G2 di Google Internet Authority è firmato da GeoTrust Global CA. Google Internet Authority G2 è una Autorità di certificazione subordinata (SCA) . Ha flag di utilizzo delle chiavi che indicano che la chiave può essere utilizzata per firmare altri certificati, ma non per crittografare le chiavi. Gli SCA sono anche noti come certificati di rilascio. Esistono in modo che un'organizzazione di grandi dimensioni possa firmare i numerosi certificati necessari per operare. Google ha probabilmente centinaia di migliaia di certificati in uso.

  • Il certificato di GeoTrust Global CA è firmato solo da solo. Ciò lo rende un certificato radice e, a questo punto, puoi dire che sono un'autorità di certificazione (CA). Tuttavia, il tuo browser non si fida completamente di tutti i certificati autofirmati che vede, perché chiunque può creare un certificato autofirmato e può collocare il suo falso certificato radice autofirmato su un sito falso e indurti a credere che il sito sia legittimo. Invece, troverai che GeoTrust è un'organizzazione chiamata Autorità di certificazione pubblica . I certificati CA pubblici sono quelli che vengono inseriti nell'archivio certificati dal fornitore del sistema operativo o dal fornitore del browser. Si tratta di organizzazioni che sono implicitamente attendibili solo per firmare certificati validi. Subiscono audit annuali e sono soggetti a molte regole per garantire che emettano certificati solo ai legittimi proprietari del sito. La responsabilità di mantenere questo elenco di autorità di certificazione affidabili è compito del CA/Forum del browser .

Puoi cercare in Wikipedia per l'infrastruttura a chiave pubblica (PKI) per avere più idea di come i certificati sono correlati e utilizzati.

14
John Deters