Comment faire des certificats numériques de travail lorsqu'il est utilisé pour la sécurisation des sites web (SSL)?
S'il vous plaît aidez-moi à comprendre comment le processus va. Je comprends que les navigateurs web contiennent des certificats racine pour les autorités de certification (Ac) comme verisign, Confie, Comodo .. etc, mais qu'est-ce qui se passe lorsqu'un utilisateur accède à une page sécurisée? Le navigateur web envoie une requête au serveur de l'autorité de certification pour vérifier la ceriticate ou il utilise juste le certificat racine (dans le navigateur) pour vérifier le certificat?
J'ai utilisé certains HTTP sniffer et connecté sur gmail (la page de connexion est sécurisée), mais ne pas voir les demandes d'aller à des sites web autres que google, est-ce à dire qu'il utilise uniquement le certificat racine?
- Le certificat fourni par le CA s'est installée dans le serveur web (par exemple, IIS) et associée à l'application web en question. Je ne vois pas pourquoi le navigateur de se connecter à l'autorité de certification.
Vous devez vous connecter pour publier un commentaire.
Cela dépend de votre navigateur/OS configuration. Fondamentalement, un navigateur ou un OS a une liste de confiance des autorités racine (Mozilla a sa propre liste, IE utilise celui de Windows).
Lors de la négociation SSL a lieu, le certificat de ce site est examiné pour voir si elle est signée par l'une des autorités de confiance, et si le nom du serveur correspond à celui qui est dans le certificat.
Ce qui se passe ensuite dépend du navigateur ou du système d'exploitation configuration. Les ac ont une liste de révocation de la fonction (c'est soit une grosse liste ou d'un autre service (OCSP) où l'on peut se demander si un certificat est toujours bon). Si votre navigateur/système d'exploitation est configuré pour vérifier cela, alors cette étape supplémentaire qui va arriver.
Firefox et Windows va vérifier OCSP services par défaut si elles sont disponibles, ni de vérifier les listes de révocation de certificats par défaut.
Une Autorité de certification délivre des certificats signés avec un privé clé. Votre navigateur stocke le correspondant public clé pour un tas d'autorités de certification approuvées. Lorsque vous recevez une demande pour une transaction sécurisée, votre navigateur vérifie la racine du certificat (fourni par l'hôte auquel vous vous connectez) avec la clé publique pour s'assurer qu'il a été signé par la clé privée correspondante.
L'hôte stocke le certificat signé par un tiers de confiance (CA) et votre navigateur stocke la clé publique de ce même tiers. Lorsqu'une transaction commence, l'hôte ne doit présenter ce certificat à votre navigateur pour vérifier. Il n'est pas nécessaire pour l'opération d'intervention par le tiers de confiance.
Ceci est différent de celui des systèmes comme PGP, où vous devez contacter le tiers afin d'obtenir la clé publique de la personne à qui vous êtes en communication avec. Les systèmes peuvent fonctionner différemment parce que avec PGP vous êtes le chiffrement/déchiffrement des données. Avec des certificats tout ce que vous faites est l'authentification de l'identité.
Le navigateur web dispose d'une liste de certificats racines approuvés. Ce sont les clés publiques de l'Ac. Le navigateur est à dire que vous pouvez avoir confiance que les clés privées de ces CAs sont en fait privés, et que tout ce qui a été chiffré par l'une de ces clés privées-y compris la prétendue certificat du serveur web -- vraiment venu de la CA.
Le certificat contenant la clé publique du serveur web et le serveur web, l'adresse et le nom de l'entreprise, etc.), chiffré par la clé privée de l'autorité de certification. Ce cryptage est fait une fois, quand le propriétaire du site web a acheté le certificat de la CA. Après cela, le site web propriétaire conserve le certificat en main pour vous envoyer lorsque vous effectuez une requête https. Depuis votre navigateur est en mesure d'utiliser l'AC la clé publique (qui était déjà sur votre machine) pour décrypter le certificat envoyé par le serveur web, et voit dans la décrypté certificat le certificat contient une adresse d'hôte qui correspond à la https-service d'accueil, le navigateur conclut que l'hôte de la clé publique (déchiffrée à l'aide de l'AC la clé publique) est authentique. Le certificat régulièrement donné par l'hébergeur peut-être encore à venir d'une personne quelconque usurpation de l'hôte, mais au moins vous pouvez être sûr qu'il contient la clé publique d'authentic de la https-service d'accueil que vous cherchez à communiquer avec.
Vous pouvez ensuite envoyer des données (comme votre numéro de carte de crédit) sont cryptées avec l'hôte de la clé publique, et seul l'hôte de la clé privée sera en mesure de déchiffrer vos données. Pas de communication avec l'autorité de certification a été nécessaire au cours de la transaction.
CA signe le certificat de serveur Web. Depuis le navigateur a déjà l'AC la clé publique (dans les certificats racine), il peut valider l'authenticité, sans accès à la CA. La seule chose qui nécessite CA d'accès consiste à vérifier si le certificat est révoqué.