Стъпвал съм на тази яма преди. Забравил съм как да практикувам, но все още помня този принцип. Грубо обяснение:
Инсталационният пакет на браузъра съхранява част от коренните сертификати (публични ключове), на които се доверява.
За сигурност, издателите на сертификати обикновено съхраняват частните ключове, съответстващи на тези коренни сертификати, в напълно несвързан трезор. Тези коренови частни ключове се използват в хранилището за издаване на някои "междинни" сертификати, а частните ключове на тези междинни сертификати имат правомощия да издават сертификат от следващо ниво. Тези междинни частни ключове се инсталират на онлайн сървъри, за да печелят пари чрез издаване на сертификати за уебсайтове. След като тези сървъри бъдат хакнати, издателят може да издаде заповед за отнемане, използвайки физически изолирания коренов сертификат частен ключ в хранилището, за да премахне доверието към тези междинни сертификати, без да се налага напълно да се доверява на коренния сертификат на издателя. Подпишете нов сертификат за междинно издаване и ще бъдете добър човек, който може да печели пари.
Ето го въпроса.
Браузърът разпознава само основния сертификат. За сертифициране на междинния сертификат, вие (уебсайтът) трябва да издадете свой собствен сертификат.
Правилно конфигуриран HTTPS уебсайт трябва да включва цялата верига от сертификати в сертификата.
Например, използвайте командата openssl s_client -connect www.wosign.com:443, за да видите собствената конфигурация на уебсайта на Wosign.
Останалото съдържание може да се игнорира, просто погледнете параграфа за верига от сертификати:
---
Верига от сертификати
0 s:/1.3.6.1.4.1.311.60.2.1.3=CN/1.3.6.1.1.4.1.311.60.2.1.2=Guangdong/1.3.6.1.4.1.311.60.2.1.1=Shenzhen/businessCategory=Частен Organization/serialNumber=440301103308619/C=CN/ST=\xE5\xB9\xBF\xE4\xB8\x9C\xE7\x9C\x81/L=\xE6\xB7\xB1\xE5\x9C\xB3\xE5\xB8\x82/postalCode=518067/street=\xE6\xB7\xB1\ xE5\x9C\xB3\xE5\xB8\x82\xE5\x8D\x97\xE5\xB1\xB1\xE5\x8C\xBA\xE5\x8D\x97\xE6\xB5\xB7\xE5\xA4\xA7\xE9\x81\x931057\xE5\x8F\xB7\xE7\xA7\x91\xE6\x8A\x80\xE5\xA4\xA7\xE5\ x8E\xA6\xE4\xBA\x8C\xE6\x9C\x9FA\xE6\xA0\x8B502#/O=WoSign\xE6\xB2\x83\xE9\x80\x9A\xE7\x94\xB5\xE5\xAD\x90\xE8\xAE\xA4\xE8\xAF\x81\xE6\x9C\x8D\xE5\x8A\xA1\xE6\x9C\x89\ xE9\x99\x90\xE5\x85\xAC\xE5\x8F\xB8/CN=www.wosign.com
i:/C=CN/O=WoSign CA Limited/CN=WoSign клас 4 EV сървър CA
1 s:/C=CN/O=WoSign CA Limited/CN=WoSign клас 4 EV сървър CA
i:/C=CN/O=WoSign CA Limited/CN=Сертификационен орган на WoSign
2 s:/C=CN/O=WoSign CA Limited/CN=Сертифициращ орган на WoSign
i:/C=IL/O=StartCom Ltd./OU=Сигурно цифрово подписване на сертификати/CN=Сертификационен орган на StartCom
---
0, 1 и 2 са серийните номера на всяко ниво на сертификат в веригата от сертификати. 0 е сертификатът, който уебсайтът използва за проверка. Неговият CN трябва да съответства на домейна на уебсайта.
След всеки сериен номер, редът, започващ с s, се отнася до сертификата, а редът, започващ с i, се отнася до издаването на сертификата.
Може да се види, че CN на 0 съдържа предполагаемо китайско домейн име и английски домейн www.wosign.com. Той се издава от WoSign CA Limited/CN=WoSign Class 4 EV Server CA.
Сертификат 1 е носителят на 0. Самият 1 се издава от друг сертификат – Сертифициращия орган на WoSign.
Нека разгледаме следващото ниво, 2. Пише, че Сертификационният орган на WoSign се издава от StartCom (хаха, оказва се, че е подизпълнител!). )
След като го разгледах на такова ниво, браузърът казва: "О, знам кой е издадител на 2", и това е споменато в инсталационния пакет StartCom. Правилен подпис и валидация, така че се довери 2. Тогава трябва да се доверите и на 1, издадено от 2, и 0, издадено от 1. Затова на този уебсайт може да се има доверие.
--
Въпреки това, ако уебсайтът е конфигуриран да съдържа само себе си в CRT файла, а не верига от сертификати, достатъчно пълна за проверка чрез вградените данни на браузъра, той може да бъде отхвърлен от браузъра. Като какво
openSSL s_client -connect touko.moe:443
---
Верига от сертификати
0 s:/CN=touko.moe
i:/C=CN/O=WoSign CA Limited/CN=WoSign CA Безплатен SSL сертификат G2
---
В една група има само 0. Описание: touko.moe в ред s се издава от WoSign CA Free SSL сертификат G2 в ред i. Свърши.
Това е най-удивителното нещо в този капан: не винаги е вярно дали браузърът не проверява на този етап. Има 2 ситуации:
Отговор: Никога не съм виждал това откакто браузърът беше инсталиран. Тогава валидирането се проваля.
Б. Ако браузърът е виждал и проверявал i преди, тогава проверката ще бъде успешна.
Обикновено администраторът отива на https уебсайта на издателя на сертификата, за да закупи сертификата, браузърът го проверява и след това кешира всички успешно проверени междинни сертификати, спестявайки време в бъдеще. Когато администраторът (погрешно) конфигурира сайта си и отиде да разгледа теста, той не срещаше никакви проблеми. Защото браузърът му вече разпознава този междинен сертификат.
Въпреки това, много потребители може да не са посещавали други правилно конфигурирани уебсайтове, издадени с този междинен сертификат. Следователно валидирането се проваля, защото не може да намери доверен емитент.
Той е сравним с контрола на емисиите на изгорелите газове на дизеловите автомобили на Volkswagen. Всичко беше наред, когато се проверяваше. Щом излязат навън, слагат отрова.
РЕДАКЦИЯ: Как да оправя ...... Вероятно е за добавяне на настройката SSLCertificateChainFile при конфигуриране на сървъра и използване на bundle файла, предоставен от уебсайта на издателя на сертификата (файлът съдържа множество междинни сертификати, които установяват връзката между вашия сертификат и сертификат с високо доверие).
|
Публикувано в 15.08.2017 г. 21:08:39 ч.
|
|
|
