Pourquoi les autorités de certification intermédiaires sont-elles nécessaires? Quand utiliser un certificat intermédiaire? Comment vérifier la chaîne du certificat intermédiaire au certificat racine? Quels sont les exemples de certificats intermédiaires liés aux certificats racine?
37
Réponses:
Parfois, pour protéger la clé privée de l'autorité de certification racine, celle-ci est stockée dans un emplacement très sécurisé et n'est utilisée que pour signer quelques certificats intermédiaires, qui sont ensuite utilisés pour émettre des certificats d'entité finale. En cas de compromis, les intermédiaires peuvent être révoqués rapidement, sans avoir à reconfigurer chaque ordinateur pour faire confiance à une nouvelle autorité de certification.
Une autre raison possible est la délégation: des sociétés telles que Google, qui utilisent souvent de nombreux certificats pour leurs propres réseaux, disposeront de leur propre autorité de certification intermédiaire.
En règle générale, l'entité finale (par exemple, un serveur Web SSL / TLS) vous fournit la chaîne de certificats complète. Il vous suffit de vérifier les signatures.
Le dernier de cette chaîne est le certificat racine, que vous avez déjà marqué comme approuvé.
Par exemple, lorsque vous avez une chaîne [utilisateur] → [intermed-1] → [intermed-2] → [racine] , la vérification est la suivante:
Est-ce que [utilisateur] a [intermed-1] comme "émetteur"?
Est-ce que [utilisateur] a une signature valide par la clé de [intermed-1] ?
Est - ce que [intermed-1] a [intermed-2] comme son "émetteur"?
Est - ce que [intermed-1] a une signature valide par la clé de [intermed-2] ?
[Intermed-2] a - t - il [racine] comme "émetteur"?
Est - ce que [intermed-2] a une signature valide par la clé de [root] ?
Puisque [root] est au bas de la chaîne et s’est lui-même désigné comme "émetteur", est-il marqué comme fiable?
Le processus est exactement le même tout le temps; l'existence et le nombre d'AC intermédiaires importent peu. Le certificat d'utilisateur peut être signé directement par root et il sera vérifié de la même manière.
Voir les informations de certificat de https://twitter.com/ ou https://www.facebook.com/ pour les chaînes contenant trois ou quatre certificats. Voir également https://www.google.com/ pour obtenir un exemple de la propre autorité de certification de Google.
la source