Warum sind Zwischenzertifizierungsstellen erforderlich? Wann würde ein Zwischenzertifikat verwendet?
Manchmal wird der private Schlüssel der Stammzertifizierungsstelle an einem sehr sicheren Ort gespeichert und nur zum Signieren einiger Zwischenzertifikate verwendet, die dann zum Ausstellen von Endentitätszertifikaten verwendet werden. Im Falle einer Kompromittierung können die Intermediates schnell widerrufen werden, ohne dass jeder einzelne Computer neu konfiguriert werden muss, um einer neuen Zertifizierungsstelle zu vertrauen.
Ein weiterer möglicher Grund ist die Delegation: Beispielsweise verfügen Unternehmen wie Google, die häufig viele Zertifikate für ihre eigenen Netzwerke verwenden, über eine eigene Zwischenzertifizierungsstelle.
Wie überprüfe ich die Kette vom Zwischenzertifikat zum Stammzertifikat?
In der Regel stellt Ihnen die Endentität (z. B. ein SSL / TLS-Webserver) die gesamte Zertifikatskette zur Verfügung. Sie müssen lediglich die Signaturen überprüfen.
Das letzte in dieser Kette ist das Stammzertifikat, das Sie bereits als vertrauenswürdig markiert haben.
Wenn Sie beispielsweise eine Kette [Benutzer] → [Intermed-1] → [Intermed-2] → [Root] haben , sieht die Überprüfung folgendermaßen aus:
Does [user] hat [intermed-1] als "Emittentin"?
Hat [Benutzer] eine gültige Signatur mit dem Schlüssel von [intermed-1] ?
Does [intermed-1] hat [intermed-2] als "Emittentin"?
Hat [intermed-1] eine gültige Signatur mit dem Schlüssel von [intermed-2] ?
Does [intermed-2] haben [root] als "Emittentin"?
Hat [intermed-2] eine gültige Signatur nach dem Schlüssel von [root] ?
Da sich [root] am Ende der Kette befindet und sich selbst als "Issuer" bezeichnet, wird es als vertrauenswürdig markiert?
Der Prozess ist die ganze Zeit genau der gleiche; Die Existenz und Anzahl der Zwischenzertifizierungsstellen spielt keine Rolle. Das Benutzerzertifikat kann direkt von root signiert und auf die gleiche Weise überprüft werden.
Was sind Beispiele für Zwischenzertifikate, die mit Stammzertifikaten verknüpft sind?
In den Zertifikatsinformationen von https://twitter.com/ oder https://www.facebook.com/ finden Sie Ketten mit drei oder vier Zertifikaten. Unter https://www.google.com/ finden Sie ein Beispiel für die eigene Zertifizierungsstelle von Google.