Как работают цепочки SSL?

Зачем нужны промежуточные центры сертификации? Когда будет использоваться промежуточный сертификат? Как проверить цепочку от промежуточного сертификата до корневого сертификата? Каковы примеры промежуточных сертификатов, которые ссылаются на корневые сертификаты?

Зачем нужны промежуточные центры сертификации? Когда будет использоваться промежуточный сертификат?

Иногда для защиты личного ключа корневого ЦС он хранится в очень безопасном месте и используется только для подписи нескольких промежуточных сертификатов, которые затем используются для выдачи сертификатов конечных объектов. В случае компромисса промежуточные соединения могут быть быстро отозваны, без необходимости перенастраивать каждую машину для доверия новому CA

Другая возможная причина - делегирование: например, такие компании, как Google, которые часто используют множество сертификатов для своих собственных сетей, будут иметь собственный промежуточный CA.

Как проверить цепочку от промежуточного сертификата до корневого сертификата?

Обычно конечный объект (например, веб-сервер SSL / TLS) предоставляет вам всю цепочку сертификатов, и все, что вам нужно сделать, это проверить подписи.

Последним в этой цепочке является корневой сертификат, который вы уже отметили как доверенный.

Например, если у вас есть цепочка [пользователь] → [intermed-1] → [intermed-2] → [root] , проверка выполняется следующим образом:

1. Имеет ли [пользователь] есть [INTERMED-1] в качестве своего "Эмитент"?

2. Имеет ли [пользователь] действительную подпись под ключом [intermed-1] ?

3. Имеет ли [INTERMED-1] есть [INTERMED-2] в качестве "Эмитент"?

4. Имеет ли [intermed-1] действительную подпись под ключом [intermed-2] ?

5. Имеет ли [INTERMED-2] есть [корень] в качестве своего "Эмитент"?

6. Имеет ли [intermed-2] действительную подпись под ключом [root] ?

7. Поскольку [root] находится в нижней части цепочки и называется «эмитентом», помечается ли он как доверенный?

Процесс все время один и тот же; наличие и количество промежуточных СА не имеет значения. Сертификат пользователя может быть подписан пользователем root напрямую, и он будет проверен таким же образом.

Каковы примеры промежуточных сертификатов, которые ссылаются на корневые сертификаты?

См. Информацию о сертификате на https://twitter.com/ или https://www.facebook.com/ для цепочек, содержащих три или четыре сертификата. См. Также https://www.google.com/ для примера собственного центра сертификации Google.