Es jau iepriekš esmu uzkāpis uz šīs bedres. Es esmu aizmirsis, kā praktizēt, bet es joprojām atceros šo principu. Aptuveni paskaidrojiet:
Pārlūkprogrammas instalācijas pakotnē tiek glabāti daži saknes sertifikāti (publiskās atslēgas), kuriem tā uzticas.
Drošības nolūkos sertifikātu izdevēji parasti glabā privātās atslēgas, kas atbilst šiem saknes sertifikātiem, absolūti atvienotā seifā. Šīs saknes privātās atslēgas tiek izmantotas seifā, lai izsniegtu dažus "starpposma" sertifikātus, un šo starpposma sertifikātu privātajām atslēgām ir tiesības izsniegt nākamā līmeņa sertifikātu. Šīs starpposma privātās atslēgas tiek instalētas tiešsaistes serveros, lai nopelnītu naudu, izsniedzot vietnes sertifikātus. Kad šie serveri ir uzlauzti, izdevējs var izdot atsaukšanas rīkojumu, izmantojot fiziski izolēto saknes sertifikāta privāto atslēgu seifā, lai novērstu šo starpposma sertifikātu uzticamību, pilnībā neuzticoties izdevēja saknes sertifikātam. Parakstiet jaunu starpposma izsniegšanas sertifikātu, un jūs būsiet labs cilvēks, kurš var nopelnīt naudu.
Šeit rodas jautājums.
Pārlūkprogramma atpazīst tikai saknes sertifikātu. Lai sertificētu starpposma sertifikātu, jums (vietnei) ir jāizsniedz savs sertifikāts.
Pareizi konfigurētā HTTPS tīmekļa vietnē sertifikātā jāiekļauj visa sertifikātu ķēde.
Piemēram, izmantojiet komandu openssl s_client -connect www.wosign.com:443, lai apskatītu paša Wosign vietnes konfigurāciju.
Pārējo saturu var ignorēt, vienkārši apskatiet sertifikātu ķēdes rindkopu:
---
Sertifikātu ķēde
0 s:/1.3.6.1.4.1.311.60.2.1.3=CN/1.3.6.1.4.1.311.60.2.1.2=Guangdong/1.3.6.1.4.1.311.60.2.1.1=Shenzhen/businessCategory=Privāts Organization/serialNumber=440301103308619/C=CN/ST=\xE5\xB9\xBF\xE4\xB8\x9C\xE7\x9C\x81/L=\xE6\xB7\xB1\xE5\x9C\xB3\xE5\xB8\x82/postalCode=518067/street=\xE6\xB7\xB1\ xE5\x9C\xB3\xE5\xB8\x82\xE5\x8D\x97\xE5\xB1\xB1\xE5\x8C\xBA\xE5\x8D\x97\xE6\xB5\xB7\xE5\xA4\xA7\xE9\x81\x931057\xE5\x8F\xB7\xE7\xE7\x91\xE6\x8A\x80\xE5\xA4\xA7\xE5\ x8E\xA6\xE4\xBA\x8C\xE6\x9C\x9FA\xE6\xA0\x8B502#/O=WoSign\xE6\xB2\x83\xE9\x80\x9A\xE7\x94\xB5\xE5\xAD\x90\xE8\xAE\xA4\xE8\xAF\x81\xE6\x9C\x8D\xE5\x8A\xA1\xE6\x9C\x89\ xE9\x99\x90\xE5\x85\xAC\xE5\x8F\xB8/CN=www.wosign.com
i:/C=CN/O=WoSign CA Limited/CN=WoSign 4. klases EV servera CA
1 s:/C=CN/O=WoSign CA Limited/CN=WoSign 4. klases EV servera CA
i:/C=CN/O=WoSign CA Limited/CN=WoSign sertifikācijas iestāde
2 s:/C=CN/O=WoSign CA Limited/CN=WoSign sertifikācijas iestāde
i:/C=IL/O=StartCom Ltd./OU=Droša digitālā sertifikāta parakstīšana/CN=StartCom sertifikācijas iestāde
---
0, 1 un 2 ir katra sertifikāta līmeņa sērijas numuri sertifikātu ķēdē. 0 ir sertifikāts, ko izmanto verificējamā tīmekļa vietne. Tās CN jāatbilst vietnes domēna nosaukumam.
Pēc katra sērijas numura rinda, kas sākas ar s, attiecas uz sertifikātu, un rinda, kas sākas ar i, attiecas uz to, kurš izdevis sertifikātu.
Var redzēt, ka CN 0 satur aizdomas par ķīniešu domēna vārdu un angļu domēna www.wosign.com. To izsniedz WoSign CA Limited/CN=WoSign Class 4 EV Server CA.
Sertifikāts 1 ir 0 izdevējs. 1 pats ir izsniegts ar citu sertifikātu, WoSign sertifikācijas iestādi.
Apskatīsim nākamo līmeni, 2. Tajā teikts, ka WoSign sertifikācijas iestādi izsniedz StartCom (haha, izrādās, ka tas ir apakšuzņēmējs!). )
Tātad, aplūkojot to šādā līmenī, pārlūks saka: ak, es zinu 2 izdevēju, un tas ir minēts instalācijas pakotnē StartCom. Pareizs paraksts un validācija, tāpēc uzticieties 2. Tad jums vajadzētu uzticēties arī 1, ko izdevis 2, un 0, ko izdevis 1. Tātad šai vietnei var uzticēties.
--
Tomēr, ja tīmekļa vietne ir konfigurēta tā, lai CRT failā būtu tikai sevi, nevis sertifikātu ķēde, kas ir pietiekami pilnīga, lai to pārbaudītu ar pārlūkprogrammas iebūvētajiem datiem, pārlūkprogramma to var noraidīt. Piemēram, kas
openssl s_client -connect touko.moe:443
---
Sertifikātu ķēde
0 s:/CN=touko.moe
i:/C=CN/O=WoSign CA Limited/CN=WoSign CA bezmaksas SSL sertifikāts G2
---
Vienā grupā ir tikai 0. Apraksts Touko.moe rindā s izsniedz WoSign CA bezmaksas SSL sertifikāts G2 rindā i. Tas ir pagājis.
Tas ir vispārsteidzošākais šajā slazdā: ne vienmēr ir taisnība, vai pārlūkprogramma šajā brīdī nespēj pārbaudīt. Ir 2 situācijas:
A. Es nekad neesmu redzējis šo i kopš pārlūkprogrammas instalēšanas. Tad validācija neizdodas.
B. Ja pārlūkprogramma ir redzējusi un pārbaudījusi i iepriekš, tad verifikācija būs veiksmīga.
Parasti administrators dosies uz sertifikāta izdevēja https vietni, lai iegādātos sertifikātu, un pārlūkprogramma to pārbaudīs, un pēc tam kešatmiņā saglabās visus veiksmīgi pārbaudītos starpposma sertifikātus, ietaupot laiku nākotnē. Kad administrators (kļūdaini) konfigurēja savu vietni un devās pārlūkot testu, viņš vispār nesaskarsies ar problēmām. Jo viņa pārlūkprogramma jau atpazīst šo starpposma sertifikātu.
Tomēr daudzi lietotāji, iespējams, nav apmeklējuši citas pareizi konfigurētas vietnes, kas izsniegtas ar šo starpposma sertifikātu. Tāpēc validācija neizdodas, jo nevar atrast uzticamu izdevēju.
Tas ir salīdzināms ar Volkswagen dīzeļdzinēju izplūdes gāzu emisiju kontroli. Pārbaudot viss bija kārtībā. Tiklīdz viņi nokļūst ārā, viņi ievieto indi.
EDIT:Kā novērst ...... Iespējams, ka servera konfigurēšanas laikā ir jāpievieno SSLCertificateChainFile iestatījums un jāizmanto sertifikāta izdevēja tīmekļa vietnes nodrošinātais komplekta fails (failā ir virkne starpposma sertifikātu, lai izveidotu savienojumu starp sertifikātu un augstas uzticamības sertifikātu).
|
Publicēts 15.08.2017 21:08:39
|
|
|
