Puncte:1

Ce este semnarea încrucișată a certificatelor rădăcină și cum ajută la momentul expirării certificatului rădăcină?

drapel sg

Am ajuns să știu că CA-urile rădăcină sunt semnate încrucișat, astfel încât, la momentul expirării certificatului, să nu existe întreruperi. Cu toate acestea, nu reușesc să găsesc documente bune care să explice cum funcționează semnarea încrucișată și cum previne întreruperile atunci când un certificat CA rădăcină va expira în viitorul apropiat?

În timp ce cercetam, am găsit mai jos de pe ssltrust.in:

„Semnarea încrucișată este pur și simplu atunci când există mai multe căi valide între un certificat rădăcină și un certificat de nod. Acest lucru poate fi avantajos din mai multe motive. Uneori, un certificat din lanț expiră.Deși ar fi bine dacă fiecare bucată de software ar fi actualizată frecvent și ar fi livrat o copie actualizată a magazinului CA rădăcină, acesta nu este cazul în lumea reală. Multe dispozitive, din mai multe motive, nu fac obiectul actualizărilor regulate. Semnarea strategică încrucișată a certificatelor intermediare de la un certificat rădăcină mai vechi (prin urmare, mai probabil să fie prezent pe un subset mai mare de dispozitive în sălbăticie), „cumpără ceva timp””.

Deci asta înseamnă că CA-urile intermediare sunt semnate încrucișat (semnate de mai multe CA-uri rădăcină, astfel încât, chiar dacă unul dintre CA-ul rădăcină expiră, ar mai exista un lanț de încredere valid) și nu CA-uri rădăcină?

De asemenea, certificatul încrucișat este diferit de semnarea încrucișată? Din această pagină Microsoft - https://docs.microsoft.com/en-us/windows-hardware/drivers/install/cross-certificates-for-kernel-mode-code-signing

„Un certificat încrucișat este un certificat digital emis de o autoritate de certificare (CA) care este utilizat pentru a semna cheia publică pentru certificatul rădăcină al altei autorități de certificare. Certificatele încrucișate oferă un mijloc de a crea un lanț de încredere dintr-un singur de încredere, rădăcină CA la mai multe alte CA."

Deci, se pare că certificatele încrucișate și semnarea încrucișată sunt diferite și de ce se menționează că „Un certificat încrucișat este un certificat digital emis de o autoritate de certificare (CA) care este folosit pentru a semna cheia publică pentru certificatul rădăcină al altă Autoritate de Certificare.” Certificatele rădăcină nu sunt autosemnate?

Puncte:2
drapel cn

Nu, certificatele încrucișate și semnarea încrucișată nu sunt cu adevărat diferite și este adevărat că atât CA intermediare, cât și ceea ce numim în mod normal CA rădăcină pot fi certificate încrucișate.

Confuzia ta se poate datora faptului este neclar exact ce este o rădăcină. Există numeroase CA care doresc să fie root, care se prezintă ca root, care publică certificate rădăcină, care solicită să fie incluse în programele root-cert etc. Dar fiecare relier, de ex.fiecare dintre noi decide în cele din urmă în care CA-uri avem încredere ca rădăcină, deși cei mai mulți dintre noi acceptă pur și simplu valorile implicite de încredere stabilite de furnizorii de browser sau de sistem (Microsoft, Apple, Mozilla/Firefox, Sun/Oracle/Java, Goolge/Chrome și Android etc. ). Dacă un anumit CA arată ca o rădăcină poate depinde de cine caută. De exemplu, pentru o lungă perioadă de timp, GeoTrust a avut propria rădăcină publicată, dar a avut și certificate încrucișate pentru același CA (poate mai multe, îmi amintesc doar unul cu siguranță) de la Equifax. Unii oameni sau sisteme au avut încredere în rădăcinile GeoTrust? și le-au tratat ca și CA rădăcină; unii nu au avut încredere, dar au avut încredere în Equifax și, prin urmare, au avut încredere în GeoTrust ca CA(e) subordonate sub Equifax. Deci, în această situație, GeoTrust a fost sau nu o rădăcină?

Un exemplu mai actual -- și mai complicat -- este LetsEncrypt. Când au început operațiunile, și-au generat propria rădăcină „ISRG” și au început să depună cereri pentru a fi acceptat, dar inițial au avut cele două CA intermediare (subordonate) LetsEncrypt X3 și LetsEncrypt X4 (prescurt numele pentru comoditate) semnate de DST Root. X3, o rădăcină stabilită, pentru a le permite să pornească rapid fără a aștepta ca propria lor rădăcină să fie acceptată. (Tehnic au început cu intermediarii X1 și X2, dar acelea au fost înlocuite rapid cu X3 și X4 din cauza unei probleme pe care nu-mi amintesc, de parcă poate nu au funcționat cu MSIE sau ceva.) Chiar anul acesta, după vreo 5 ani de efort, au primit în sfârșit ISRG Root X1 acceptat suficient de larg pentru a putea trece la utilizarea acestuia; între timp au adăugat ISRG Root X2, care AFAICT nu este încă atât de acceptat. Deci acum folosesc această structură de încredere:

  • intermediarii R3 și R4 sunt în primul rând înlănțuite (liniile întunecate) la ISRG Root X1, dar și ele poate sa fiți înlănțuit (liniile gri) la DST Root X3 dacă doriți

  • pentru acele (puține) sisteme care nu au încredere în ISRG X1, există încă un certificat încrucișat (numit și bridge) de la DST X3

  • intermediarii E1 și E2 sunt înlănțuiți la ISRG X2, care poate sa fi o rădăcină, dar pentru (multe) sisteme care nu au încredere în ISRG X2, acesta este, de asemenea, certificat încrucișat de ISRG X1 (și, prin urmare, indirect de DST X3, dacă este necesar)

Acest lucru este complicat de faptul că DST X3 cert expiră în câteva săptămâni (2021-09-30). Regulile standard nu spun dacă validarea în lanț folosind un certificat rădăcină expirat trebuie sau ar trebui să eșueze, parțial pentru că nu specifică deloc un certificat rădăcină, doar anumite câmpuri; aproape pentru toate programele software este convenabil să folosească un certificat ca structură de date pentru o identitate și o cheie rădăcină (numită și ancora), dar acest lucru nu este necesar. Așadar, lanțurile care folosesc DST X3 pot deveni în curând invalide sau nu, în funcție de factori pe care majoritatea utilizatorilor nu vor putea înțelege, ceea ce nu este un lucru foarte bun.

O rădăcină certificat este întotdeauna autosemnat, da. (Acest lucru este indicat de săgețile de auto-buclă din diagrama LetsEncrypt.) Cu toate acestea, un CA care are un certificat rădăcină poate avea și un certificat încrucișat, sau chiar mai multe, care este/nu sunt autosemnate, dar este/sunt pentru un CA care poate fi etichetată și văzută ca CA rădăcină. Limpede ca noroiul?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.