Már léptem erre a gödörre korábban. Elfelejtettem, hogyan kell gyakorolni, de még mindig emlékszem erre az elvre. Nagyjából magyarázd el:
A böngésző telepítési csomagja tárolja néhány gyökértanúsítványt (nyilvános kulcsot), amelyeket megbízik.
Biztonság érdekében a tanúsítványok kibocsátók általában ezeknek a gyökértanúsítványoknak megfelelő privát kulcsokat egy teljesen elszigetelt tárolóban tárolják. Ezeket a root privát kulcsokat a tárolóban használják néhány "köztes" tanúsítvány kiadására, és ezeknek a köztes tanúsítványoknak a privát kulcsai jogosultak a következő szintű tanúsítvány kiadására. Ezeket a köztes privát kulcsokat online szerverekre telepítik, hogy pénzt keressenek weboldal tanúsítványok kiadásával. Miután ezeket a szervereket feltörték, a kiadó visszavonási parancsot adhat ki a fizikailag elszigetelt gyökértanúsítvány privát kulcsával a tárolóban, hogy megszüntetze a köztes tanúsítványok bizalmát anélkül, hogy teljesen bizalmatlan kellene lennének a kiadó gyökértanúsítványában. Írj alá egy új köztes kiadvány igazolást, és jó ember leszel, aki pénzt kereshet.
Itt jön a kérdés.
A böngésző csak a gyökértanúsítványt ismeri fel. A köztes tanúsítvány hitelesítéséhez neked (a weboldalnak) saját tanúsítványt kell kiadnod.
Egy megfelelően konfigurált HTTPS weboldalnak a teljes tanúsítványláncot kell tartalmaznia a tanúsítványban.
Például használd az openssl s_client -connect parancsot www.wosign.com:443 a Wosign saját weboldalának konfigurációjának megtekintéséhez.
A többi tartalom figyelmen kívül hagyható, csak nézd meg a Tanúsítványlánc bekezdést:
---
Tanúsítványlánc
0 s:/1.3.6.1.4.1.311.60.2.1.3=CN/1.3.6.1.4.1.311.60.2.1.2=Guangdong/1.3.6.1.4.1.311.60.2.1.1=Shenzhen/businessCategory=Private Szervezet/sorozatszám=440301103308619/C=CN/ST=\xE5\xB9\xBF\xE4\xB8\x9C\xE7\x9C\x81/L=\xE6\xB7\xB1\xE5\x9C\xB3\xE5\xB8\x82/postalCode=518067/street=\xE6\xB7\xB1\ xE5\x9C\xB3\xE5\xB8\x82\xE5\x97\xD\x97\xE5\xB1\xE5\x8C\xBA\xE5\x8D\x97\xE6\xB5\xB7\xE5\xA4\xA7\xE9\x81\x931057\xE5\x8F\xB7\xE7\xA7\x91\xE6\x8A\x80\xE5\xA4\xA7\xE5\E5\ x8E\xA6\xE4\xBA\x8C\xE6\x9C\x9FA\xE6\xA0\x8B502#/O=WoSign\xE6\xB2\x83\xE9\x80\x9A\xE7\x94\xB5\xE5\xAD\x90\xA4\xE8\xAF\x81\xE6\x9C\x8D\xE5\x8A\xA1\xE6\x9C\x89\ xE9\x99\x90\xE5\x85\xAC\xE5\x8F\xB8/CN=www.wosign.com
i:/C=CN/O=WoSign CA Limited/CN=WoSign Class 4 EV szerver CA
1 s:/C=CN/O=WoSign CA Limited/CN=WoSign Class 4 EV szerver CA
i:/C=CN/O=WoSign CA Limited/CN=WoSign tanúsító hatósága
2 s:/C=CN/O=WoSign CA Limited/CN=WoSign tanúsító hatósága
i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Aláírás/CN=StartCom Tanúsító Hatóság
---
0, 1 és 2 a tanúsítványlánc minden szintjének sorozatszámai. 0 az a tanúsítvány, amelyet a weboldal ellenőriz. A CN-nek megfelelnie kell a weboldal domain nevének.
Minden sorozatszám után az s betűvel kezdődő sor a tanúsítványt jelöli, az i-vel kezdődő sor pedig azt jelzi, ki adta ki a tanúsítványt.
Látható, hogy a 0 CN-je gyanúsított kínai domain nevet és egy angol domain www.wosign.com-t tartalmaz. A WoSign CA Limited/CN=WoSign Class 4 EV szerver CA adja ki.
Az 1-es tanúsítvány a 0 kibocsátója. Az 1-et maga egy másik tanúsítvány, a WoSign Tanúsító Hatósága adja ki.
Nézzük meg a következő szintet, 2. Azt írja, hogy a WoSign tanúsító engedélyét a StartCom adja ki (haha, kiderült, hogy alvállalkozó!). )
Szóval miután ilyen szinten megnéztem, a böngésző azt mondja, hogy ó, ismerem a 2-es kiadót, és ez szerepel az installációs csomagban, a StartCom-ban. Helyes aláírás és ellenőrzés, tehát bízz 2-ben. Akkor bíznod kell az 1-ben, amit 2-ben adtak ki, és 0-ban, amit 1 adott ki. Így ez a weboldal megbízható.
--
Azonban, ha a weboldal úgy van konfigurálva, hogy csak önmagát tartalmazza a CRT fájlban, és nem egy olyan tanúsítványláncot, amely elég teljes, hogy a böngésző beépített adatai ellenőrizzék, akkor a böngésző elutasíthatja. Mint mit
openssl s_client -Connect touko.moe:443
---
Tanúsítványlánc
0 s:/CN=touko.moe
i:/C=CN/O=WoSign CA Limited/CN=WoSign CA Ingyenes SSL tanúsítvány G2
---
Csak 0 van egy csoportban. Leírás A touko.moe s sorban a WoSign CA által kiadott ingyenes SSL tanúsítvány G2 az i sorban. Eltűnt.
Ez a legcsodálatosabb ebben a buktatóban: nem mindig igaz, hogy a böngésző ebben a ponton nem ellenőrizi. Két helyzet van:
V. Ezt a böngésző telepítése óta még sosem láttam. Aztán a hitelesítés megbukik.
B. Ha a böngésző már látta és ellenőrizte az i-t, akkor az ellenőrzés sikeres lesz.
Általában az adminisztrátor felmegy a tanúsítvány kiadó https weboldalára, hogy megvásárolja a tanúsítványt, a böngésző pedig ellenőrzi azt, majd gyorsítótárba helyezi az összes sikeresen ellenőrizett köztes tanúsítványt, így időt takarít meg a jövőben. Amikor az adminisztrátor (tévedéssel) beállította a weboldalát és böngészni a tesztet, egyáltalán nem volt probléma. Mert a böngészője már felismeri ezt a köztes tanúsítványt.
Ugyanakkor sok felhasználó nem feltétlenül látogatott meg más, megfelelően konfigurált weboldalakat, amelyeket ez a köztes tanúsítvány adott ki. Ezért az ellenőrzés megbukik, mert nem talál megbízható kibocsátót.
Ez összehasonlítható a Volkswagen dízeljárművek kipufogógáz-kibocsátás-szabályozásával. Minden rendben volt, amikor ellenőrizték. Amint kijönnek, mérget tesznek.
MÓDOSÍTÁS: Hogyan lehet kijavítani ...... Valószínűleg azért van az SSLCertificateChainFile beállítás hozzáadása a szerver konfigurálásához, és a tanúsítvány kiadó weboldala által biztosított bundle fájl használata (a fájl egy csomó köztes tanúsítványt tartalmaz, hogy kapcsolatot teremtsen a tanúsítvány és egy magas bizalmi tanúsítvány között).
|
Közzétéve 2017. 08. 15. 21:08:39
|
|
|
