id: Гость   вход   регистрация
текущее время 15:41 28/03/2024
Владелец: SATtva (создано 14/09/2006 22:50), редакция от 27/08/2006 21:16 (автор: SATtva) Печать
Категории: инфобезопасность, защита сети, спецификации, стандарты, ssl
создать
просмотр
редакции
ссылки

SSL, Secure Sockets Layer


Криптографический протокол, обеспечивающий шифрование канала связи при доступе к данным через Интернет. Обычно используется для безопасного просмотра защищённых веб-страниц.


 
— Alex_B (29/11/2007 13:32, исправлен 29/11/2007 14:43)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143
Браузер получает сертификат от запрашиваемого узла интернет, а как потом браузер проверяет этот сертификат?

Правильно ли я понял, что браузер поставляется с неким набором сертификатов Центров Сертификации.
Когда браузер получает сертификат посещаемого узла он проверяет попдтвержден ли он одним из этих предустановленных сертификатов?
— sentaus (29/11/2007 14:47)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Да, всё именно так.
— Alex_B (29/11/2007 15:41)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143
А проводится ли проверка цепочки сертификации, если предлагаемый узлом сертификат не подписан ни одним из предустановленных сертификатов?

Например сертификат, который предлагает данный сайт, выдан неизвестным Центром Сертификации (CA Cert Signing Authority) – этого центра нет ни в списке Fire Fox, ни в списке Opera.
— SATtva (29/11/2007 16:30)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
А проводится ли проверка цепочки сертификации, если предлагаемый узлом сертификат не подписан ни одним из предустановленных сертификатов?

Корректно настроенный веб-сервер передаёт клиенту всю цепочку сертификации, включая собственный сертификат, корневой и, если есть, все промежуточные звенья.

Например сертификат, который предлагает данный сайт, выдан неизвестным Центром Сертификации (CA Cert Signing Authority) – этого центра нет ни в списке Fire Fox, ни в списке Opera.

Это проблема названных браузеров или веб-сайта? :-) Mozilla Foundation уже лет пять отказывается включить корневой сертификат CAcert в дистрибутив браузера (поищите в Багзилле, там это уже, наверно, старейший нерешённый багрепорт). К сожалению, включение корневых сертификатов в браузеры — процесс более политический и финансовый, нежели технический. CAcert — некоммерческий УЦ, т.е. не может подкрепить свою заявку солидными финансовыми вливаниями, как большие игроки рынка.
— Alex_B (29/11/2007 17:17, исправлен 29/11/2007 17:18)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143

Браузер потом проверяет эту цепочку автономно? Т.е. он проверяет подписи в этой цепочке и если в итоге они приводят к одному из удостоверяющих центров поставляемых по дефолту – значит все в порядке.

А если веб-сервер настроен не корректно браузер каким-то образом проверяет эту цепочку?
— sentaus (29/11/2007 17:23)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Вряд ли у него есть такая возможность. Откуда он возьмет промежуточные звенья?
— Alex_B (29/11/2007 18:02)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143
Ясно, спасибо за информацию.

После взаимной идентификации, сервер и клиент обмениваются сообщениями и используя симметричный алгоритм шифрования. А что это алгиритм, как он называется? (никак не найду)
— SATtva (29/11/2007 18:21)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Браузер потом проверяет эту цепочку автономно?

Если только в реализации нет ошибок (как было в одной из версий MS Outlook, который и сертификаты от неизвестных поставщиков признавал достоверными)...
— Alex_B (29/11/2007 19:00)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143
Что если секретный ключ Удостоверяющего Центра, сертификат которого находится в списке доверяемых, будет компрометирован – как браузер узнает об этом?
— SATtva (29/11/2007 20:02)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
ID скомпрометированного сертификата будет внесён в реестр аннулированных сертификатов (CRL). Далее клиент должен либо скачать этот обновлённый CRL и скормить его своему софту (проблематичное решение) либо положиться на автоматическую проверку. Современные браузеры используют протокол OCSP для интерактивных запросов к базам CRL удостоверяющих центров. Ну, если браузер этот протокол не поддерживает или его использование отключено, он об этом конечно не узнает.

Вообще я деталей всей этой кухни не знаю, но, по-моему, сам CRL тоже заверяется корневым или выделенным ключом УЦ. В любом случае, компрометация корневого ключа означает конец для репутации УЦ и всей его деятельности. Через CRL такое обновление скорее всего доставлено не будет. Вероятно, производители браузеров или ОС должны будут выпустить патчи, исключающие сертификат из базы. Реально такого, кажется, не происходило.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3