Na to jamo sem že stopil. Pozabil sem, kako vaditi, a se tega načela še vedno spomnim. Približno razložite:
Namestitveni paket brskalnika shranjuje nekatere korenske certifikate (javne ključe), ki jim zaupa.
Zaradi varnosti izdajatelji potrdil običajno shranjujejo zasebne ključe, ki ustrezajo tem korenskim potrdilom, v popolnoma odklopljenem trezorju. Ti korenski zasebni ključi se uporabljajo v trezorju za izdajo nekaterih "vmesnih" certifikatov, zasebni ključi teh vmesnih certifikatov pa imajo pooblastilo za izdajo certifikata naslednje stopnje. Ti vmesni zasebni ključi se namestijo na spletne strežnike za zaslužek z izdajo certifikatov na spletnih straneh. Ko so ti strežniki vdrti, lahko založnik izda odredbo o preklicu z uporabo fizično izoliranega zasebnega ključa korenskega potrdila v trezorju, da odstrani zaupanje v te vmesne certifikate, ne da bi moral popolnoma nezaupati založnikovemu korenskemu potrdilu. Podpiši novo potrdilo o vmesni izdaji in postal boš dober človek, ki lahko zasluži denar.
Tukaj pride vprašanje.
Brskalnik prepozna le korensko potrdilo. Za potrditev vmesnega certifikata morate (spletna stran) izdati svoje lastno potrdilo.
Pravilno konfigurirana HTTPS spletna stran bi morala vključevati celotno verigo certifikatov v potrdilu.
Na primer, uporabite ukaz openssl s_client -connect www.wosign.com:443 za ogled Wosignove lastne konfiguracije spletne strani.
Ostalo vsebino lahko prezrete, poglejte le verižni odstavek o certifikatih:
---
Veriga certifikatov
0 s:/1.3.6.1.4.1.1.311.60.2.1.3=CN/1.3.6.1.4.1.311.60.2.1.2=Guangdong/1.3.6.1.4.1.311.60.2.1.1=Shenzhen/businessCategory=Zasebno Organization/serialNumber=440301103308619/C=CN/ST=\xE5\xB9\xBF\xE4\xB8\x9C\xE7\x9C\x81/L=\xE6\xB7\xB1\xE5\x9C\xB3\xE5\xB8\x82/postalCode=518067/street=\xE6\xB7\xB1\ xE5\x9C\xB3\xE5\xB8\x82\xE5\x8D\x97\xE5\xB1\xB1\xE5\x8C\xBA\xE5\x8D\x97\xE6\xB5\xB7\xE5\xA4\xA7\xE9\x81\x931057\xE5\x8F\xB7\xE7\xA7\x91\xE6\x8A\x80\xE5\xA4\xA7\xE5\ x8E\xA6\xE4\xBA\x8C\xE6\x9C\x9FA\xE6\xA0\x8B502#/O=WoSign\xE6\xB2\x83\xE9\x80\x9A\x9A\xE7\x94\xB5\xE5\xAD\x90\xE8\xAE\xA4\xE8\xAF\x81\xE6\x9C\x8D\xE5\x8A\xA1\xE6\x9C\x89\ xE9\x99\x90\xE5\x85\xAC\xE5\x8F\xB8/CN=www.wosign.com
i:/C=CN/O=WoSign CA Limited/CN=WoSign Class 4 EV Server CA
1 s:/C=CN/O=WoSign CA Limited/CN=WoSign Class 4 EV Server CA
i:/C=CN/O=WoSign CA Limited/CN=Certifikacijski organ WoSign
2 s:/C=CN/O=WoSign CA Limited/CN=Certifikacijski organ WoSign
i:/C=IL/O=StartCom Ltd./OU=Varno digitalno podpisovanje certifikatov/CN=Certifikacijski organ StartCom
---
0, 1 in 2 so serijske številke vsake ravni certifikata v verigi certifikatov. 0 je potrdilo, ki ga spletna stran uporablja za preverjanje. Njena CN naj ustreza domeni spletne strani.
Po vsaki serijski številki vrstica, ki se začne s s, označuje potrdilo, vrstica, ki se začne z i, pa označuje, kdo je izdal potrdilo.
Videti je, da CN 0 vsebuje domnevno kitajsko domeno in angleško domeno www.wosign.com. Izdaja ga WoSign CA Limited/CN=WoSign Class 4 EV Server CA.
Certifikat 1 je izdajatelj 0. 1 sam izdaja drug certifikat, certifikacijski organ WoSign.
Poglejmo naslednjo stopnjo, 2. Piše, da je certifikacijska avtoriteta WoSign izdana s strani StartComa (haha, izkazalo se je, da gre za podizvajalca!). )
Torej, ko sem si to ogledal na takšni ravni, brskalnik pravi, oh, poznam izdajatelja 2, in to je omenjeno v namestitvenem paketu, StartCom. Pravilen podpis in validacija, torej zaupanje 2. Potem bi morali zaupati tudi 1, ki jo izda 2, in 0, ki jo izda 1. Torej je tej spletni strani mogoče zaupati.
--
Če pa je spletna stran nastavljena tako, da vsebuje samo sebe v CRT datoteki in ne verige potrdil, ki bi bila dovolj popolna, da bi jo lahko preverili vgrajeni podatki brskalnika, jo lahko brskalnik zavrne. Kaj na primer
OpenSSL s_client -connect touko.moe:443
---
Veriga certifikatov
0 s:/CN=touko.moe
i:/C=CN/O=WoSign CA Limited/CN=WoSign CA Brezplačni SSL certifikat G2
---
V eni skupini je le 0. Opis Touko.moe v vrstici s izdaja WoSign CA Free SSL Certificate G2 v vrstici i. Izginil je.
To je najbolj neverjetna stvar pri tej pasti: ni vedno res, ali brskalnik v tem trenutku ne preveri. Obstajata 2 situaciji:
O. Odkar je brskalnik nameščen, tega nisem nikoli videl. Potem validacija ne uspe.
B. Če je brskalnik že prej videl in preveril, bo preverjanje uspešno.
Običajno skrbnik obišče https spletno stran izdajatelja certifikata, da kupi potrdilo, brskalnik ga preveri in nato predpomni vse uspešno potrjene vmesne certifikate, s čimer prihrani čas v prihodnosti. Ko je administrator (pomotoma) konfiguriral svojo spletno stran in brskal po testu, ni naletel na nobene težave. Ker njegov brskalnik že prepozna ta vmesni certifikat.
Vendar pa mnogi uporabniki morda niso obiskali drugih pravilno konfiguriranih spletnih strani, ki jih je izdal ta vmesni certifikat. Zato validacija ne uspe, ker ne more najti zaupanja vrednega izdajatelja.
Primerljiv je z nadzorom emisij izpušnih plinov pri Volkswagnovih dizelskih vozilih. Ko sem preveril, je bilo vse v redu. Takoj ko pridejo ven, dajo strup.
UREDI: Kako popraviti ...... Verjetno je namen dodati nastavitev SSLCertificateChainFile pri konfiguraciji strežnika in uporabiti bundle datoteko, ki jo zagotavlja spletna stran izdajatelja certifikata (datoteka vsebuje več vmesnih certifikatov za vzpostavitev povezave med vašim certifikatom in visoko zaupanja vrednim certifikatom).
|
Objavljeno na 15. 08. 2017 21:08:39
|
|
|
