SSL, Secure Sockets Layer
Криптографический протокол, обеспечивающий шифрование канала связи при доступе к данным через Интернет. Обычно используется для безопасного просмотра защищённых веб-страниц.
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
комментариев: 143 документов: 31 редакций: 143
Правильно ли я понял, что браузер поставляется с неким набором сертификатов Центров Сертификации.
Когда браузер получает сертификат посещаемого узла он проверяет попдтвержден ли он одним из этих предустановленных сертификатов?
комментариев: 1060 документов: 16 редакций: 32
комментариев: 143 документов: 31 редакций: 143
Например сертификат, который предлагает данный сайт, выдан неизвестным Центром Сертификации (CA Cert Signing Authority) – этого центра нет ни в списке Fire Fox, ни в списке Opera.
комментариев: 11558 документов: 1036 редакций: 4118
Корректно настроенный веб-сервер передаёт клиенту всю цепочку сертификации, включая собственный сертификат, корневой и, если есть, все промежуточные звенья.
Это проблема названных браузеров или веб-сайта? :-) Mozilla Foundation уже лет пять отказывается включить корневой сертификат CAcert в дистрибутив браузера (поищите в Багзилле, там это уже, наверно, старейший нерешённый багрепорт). К сожалению, включение корневых сертификатов в браузеры — процесс более политический и финансовый, нежели технический. CAcert — некоммерческий УЦ, т.е. не может подкрепить свою заявку солидными финансовыми вливаниями, как большие игроки рынка.
комментариев: 143 документов: 31 редакций: 143
Браузер потом проверяет эту цепочку автономно? Т.е. он проверяет подписи в этой цепочке и если в итоге они приводят к одному из удостоверяющих центров поставляемых по дефолту – значит все в порядке.
А если веб-сервер настроен не корректно браузер каким-то образом проверяет эту цепочку?
комментариев: 1060 документов: 16 редакций: 32
комментариев: 143 документов: 31 редакций: 143
После взаимной идентификации, сервер и клиент обмениваются сообщениями и используя симметричный алгоритм шифрования. А что это алгиритм, как он называется? (никак не найду)
комментариев: 11558 документов: 1036 редакций: 4118
Если только в реализации нет ошибок (как было в одной из версий MS Outlook, который и сертификаты от неизвестных поставщиков признавал достоверными)...
комментариев: 143 документов: 31 редакций: 143
комментариев: 11558 документов: 1036 редакций: 4118
Вообще я деталей всей этой кухни не знаю, но, по-моему, сам CRL тоже заверяется корневым или выделенным ключом УЦ. В любом случае, компрометация корневого ключа означает конец для репутации УЦ и всей его деятельности. Через CRL такое обновление скорее всего доставлено не будет. Вероятно, производители браузеров или ОС должны будут выпустить патчи, исключающие сертификат из базы. Реально такого, кажется, не происходило.