【学习笔记】SSL证书安全机制之证书链

2024-09-07 06:12

本文主要是介绍【学习笔记】SSL证书安全机制之证书链,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言:CA会给成千上万的Server签发证书,但CA不会直接去签发这么多证书,本篇将给出解释

一、证书链原理解析

  • 我们需知,CA证书预装在浏览器里(不仅仅是浏览器,也可以是一切可以联网的软件);有些时候,操作系统有自己的信任源,软件会用本地的CA证书;无论哪种方式,CA证书是安装在Client的软件里。
    • 如果CA的私钥被泄露了,唯一可以移除对CA的信任的方法是运行某些软件更新。
      • 事实情况是我们很少会及时更新软件,现在很多应用程序都是用SSL来连接互联网,如果CA泄露了私钥,我们安装更新就会允许其他人截断链接并偷取我们所有数据。
      • 系统信任的是软件里的签名,只有软件更新才能撤销信任。
  • 取而代之的是,签名通常都委托给中间CA(Intermediate CA),初始的CA也称作根CA(Root CA),那现在就是中间CA负责给Server签发证书。
    • 这创建了安全“控制点”(Control Points),意味着,如果中间CA私钥泄露了,根CA组要做的就是撤销委托的签名权(而不需要运行任何联网的软件更新)。
    • 另一件需要做的事,是增加根CA私钥的安全性
      • 根CA的私钥应该很少被使用(使用越多,越不安全)
      • 根CA私钥存储在“air gapped”系统(不连接互联网的计算机),或HSMs(Hard Security Modules,比如密码机)
      • 实际上,实际(根CA的)私钥被拆分成许多部分,然后被存储在许多HSMs,然后交给许多不同的人。以这种方式,整个的私钥不会出现在一个地方,如果某个人泄露了他那部分的私钥,但并不会泄露整个密钥
    • 由于以上原因,签名权一般都委托给中间CA
    • 上面讨论的是安全性,另一方面,这样也会允许CA组织边界。例如,中间CA将签名权委托给其他下级CA,如图所示的绿色CA(负责给欧洲地区的网站签发证书),和红色CA(负责给美国网站签发证书);也有可能绿色CA负责给软件或代码进行代码签,而红色CA负责给网站签发SSL证书。
  • 这样,就形成了一个链条(Chain)联通到根CA(Root CA),这就是我们所谓的证书链(Certificate Chain)

  • Root Certificate Authority(根CA)
    • 一切始于根CA
    • 根CA拥有一对公钥和私钥
      • 私钥的安全是至关重要的
      • 根CA还拥有自签发的证书
        • 该证书预装在浏览器中(如果不想信任根CA证书可以从浏览器里卸载,用户一般没权限进行该操作,浏览器厂商可以,反之亦然)
        • 提供“Trust Anchor”(信任锚)
  • Intermediate Certificate Authority(ICA,中间CA)
    • 中间CA是独立的组织,他们有自己的公钥和私钥
    • 也有他们自己的(自签发)证书
    • 提交CSR给根CA来请求证书(和用户申请证书相同),根CA会签发证书给中间CA
    • 证书由签发CA(Issuing CA)所签名
    • 这一过程可以进行无数遍,也就是说理论上可以有无限制的中间CA(但实际上,目前一般只有1个中间CA,最多2个且是交叉验证),每个中间CA都有自己的公钥和私钥。
      • 需要注意的是,必须形成一个连通到“chain”
  • Server Certificate(服务器证书)
    • 证书链的终点,一般称作“End Entity”(最终实体),或者“Leaf Certificate”(叶证书),又或者“Server Certificate”(服务器证书)
    • 服务器获取证书的过程和我们之前讲述的一样
      • Server生成公钥和私钥
      • Server生成CSR文件
      • Server将CSR文件发送给CA
      • Server收到由CA签发的证书
    • 完成链条
  • Subject(主体)和Issuer(颁发者)
    • 每张证书都有Subject和Issuer,这构成了通往根CA的链条(Chain)。Subject验证了证书的主体(Subject),比如freessl.cn,Issuer验证了是谁创建了该证书,比如某中间CA(ICA)。该中间CA也有Subject(中间CA)和Issuer(上级ICA或者根CA);根CA的证书是自签的,因而Subject和Issuer都是自己。

         

  • 哪张证书应该发送给Client?
    • 一般情况下,Client要连接到Server,而Server要发送正确的证书来避免出现SSL错误
    • 在此之前,Client已经预装了根CA的证书(预装在联网的软件里)
    • Server必须发送它最终实体证书(也就是服务器证书)
    • Server必须发送每一个证书链中的中间证书(因为,Client要验证服务器证书的签名,而这个签名由红色ICA创建,我们就需要该ICA的公钥来验证签名,但此时,Client并不信任红色ICA。因此,如果Client只收到了服务器证书,Client并不会信任该证书。)
      • Client会验证每张证书的签名(具体地,收到红色ICA的公钥,那么就可以验证蓝色证书的签名;粉色证书的公钥可以验证红色证书的签名;而预装的根CA证书可以验证粉色证书的签名;一个链条下来,最终Client可以信任蓝色证书)
    • Server还能发送根CA证书(如果想就可以选择发送)
      • 然而,在验证阶段,Client会忽略根证书
        • “信任锚”必须来自预装的东西,并且在Client软件中被预先信任
        • 那么为什么要发送根证书呢?(不是说不需要验证根吗?)原因在于,它允许Client轻易地添加根CA证书(如果Client想这样),这样的例子不是在标准的互联网网站中,而是出现在公司CA(Corporate CA)环境里。例如,公司有许多内部网站资源,如果员工没有预装公司的根CA证书,浏览器访问内网网站的时候就会报错。(前面将PKI的时候,提到企业内部也是PKI,详情请看《SSL证书之PKI》)

二、证书链示例

        我们可以查看本站点的证书,如下:

        可以看到证书链分3层,最上面的是DigiCert的根证书,中间是GeoTrust(DigiCert旗下)的中间证书,最下面的也就是我们的服务器证书,可以看到是*.csdn.net通配符证书。

参考文献

1、网站:Practical Networking.net:Practiacl TLS

这篇关于【学习笔记】SSL证书安全机制之证书链的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1144281

相关文章

HarmonyOS学习(七)——UI(五)常用布局总结

自适应布局 1.1、线性布局(LinearLayout) 通过线性容器Row和Column实现线性布局。Column容器内的子组件按照垂直方向排列,Row组件中的子组件按照水平方向排列。 属性说明space通过space参数设置主轴上子组件的间距,达到各子组件在排列上的等间距效果alignItems设置子组件在交叉轴上的对齐方式,且在各类尺寸屏幕上表现一致,其中交叉轴为垂直时,取值为Vert

Ilya-AI分享的他在OpenAI学习到的15个提示工程技巧

Ilya(不是本人,claude AI)在社交媒体上分享了他在OpenAI学习到的15个Prompt撰写技巧。 以下是详细的内容: 提示精确化:在编写提示时,力求表达清晰准确。清楚地阐述任务需求和概念定义至关重要。例:不用"分析文本",而用"判断这段话的情感倾向:积极、消极还是中性"。 快速迭代:善于快速连续调整提示。熟练的提示工程师能够灵活地进行多轮优化。例:从"总结文章"到"用

JVM 的类初始化机制

前言 当你在 Java 程序中new对象时,有没有考虑过 JVM 是如何把静态的字节码(byte code)转化为运行时对象的呢,这个问题看似简单,但清楚的同学相信也不会太多,这篇文章首先介绍 JVM 类初始化的机制,然后给出几个易出错的实例来分析,帮助大家更好理解这个知识点。 JVM 将字节码转化为运行时对象分为三个阶段,分别是:loading 、Linking、initialization

【前端学习】AntV G6-08 深入图形与图形分组、自定义节点、节点动画(下)

【课程链接】 AntV G6:深入图形与图形分组、自定义节点、节点动画(下)_哔哩哔哩_bilibili 本章十吾老师讲解了一个复杂的自定义节点中,应该怎样去计算和绘制图形,如何给一个图形制作不间断的动画,以及在鼠标事件之后产生动画。(有点难,需要好好理解) <!DOCTYPE html><html><head><meta charset="UTF-8"><title>06

学习hash总结

2014/1/29/   最近刚开始学hash,名字很陌生,但是hash的思想却很熟悉,以前早就做过此类的题,但是不知道这就是hash思想而已,说白了hash就是一个映射,往往灵活利用数组的下标来实现算法,hash的作用:1、判重;2、统计次数;

零基础学习Redis(10) -- zset类型命令使用

zset是有序集合,内部除了存储元素外,还会存储一个score,存储在zset中的元素会按照score的大小升序排列,不同元素的score可以重复,score相同的元素会按照元素的字典序排列。 1. zset常用命令 1.1 zadd  zadd key [NX | XX] [GT | LT]   [CH] [INCR] score member [score member ...]

【机器学习】高斯过程的基本概念和应用领域以及在python中的实例

引言 高斯过程(Gaussian Process,简称GP)是一种概率模型,用于描述一组随机变量的联合概率分布,其中任何一个有限维度的子集都具有高斯分布 文章目录 引言一、高斯过程1.1 基本定义1.1.1 随机过程1.1.2 高斯分布 1.2 高斯过程的特性1.2.1 联合高斯性1.2.2 均值函数1.2.3 协方差函数(或核函数) 1.3 核函数1.4 高斯过程回归(Gauss

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

软考系统规划与管理师考试证书含金量高吗?

2024年软考系统规划与管理师考试报名时间节点: 报名时间:2024年上半年软考将于3月中旬陆续开始报名 考试时间:上半年5月25日到28日,下半年11月9日到12日 分数线:所有科目成绩均须达到45分以上(包括45分)方可通过考试 成绩查询:可在“中国计算机技术职业资格网”上查询软考成绩 出成绩时间:预计在11月左右 证书领取时间:一般在考试成绩公布后3~4个月,各地领取时间有所不同

【学习笔记】 陈强-机器学习-Python-Ch15 人工神经网络(1)sklearn

系列文章目录 监督学习:参数方法 【学习笔记】 陈强-机器学习-Python-Ch4 线性回归 【学习笔记】 陈强-机器学习-Python-Ch5 逻辑回归 【课后题练习】 陈强-机器学习-Python-Ch5 逻辑回归(SAheart.csv) 【学习笔记】 陈强-机器学习-Python-Ch6 多项逻辑回归 【学习笔记 及 课后题练习】 陈强-机器学习-Python-Ch7 判别分析 【学