MyWiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: lora libreoffice corona_tests tmux xinput ssl
ssl

Dies ist eine alte Version des Dokuments!

Inhaltsverzeichnis

Allgemein

Protokoll für verschlüsselte und authentifizierte Verbindungen über TCP.

  • SSL → Secure Socket Layer
  • TLS → SSL 3.1 → Transport Layer Security
  • basierend auf TCP
  • steht zwischen Schicht 4 und 5 (4.5 :))

Offizielle CAs

Startssl

  • Startssl.com
  • Günstige CA
  • Kostenlose Level-1-Zertifikate
  • in allen gängigen Browsern vorinstalliert
  • Nach Registrierung wird ein Zertifikat automatisch im Browser installiert welches zukünftig als Authentifizierung gegenüber dem Dienst dient (statt Psswort)

OpenSSL

GnuTLS

  • ähnlich OpenSSL
  • eigentständige Implementierung (inkl. eigenständiger Bibliothek)

Wie die Chain festgestellt wird

  • das Zertifikat (als Text) hat eine Sektion „Authority Key Identifier“ (der Fingerprint des Schlüssels der dieses Zertifikat signiert hat):

X509v3 Authority Key Identifier: 
                keyid:08:76:CD:CB:07:FF:24:F6:C5:CD:ED:BB:90:BC:E2:84:37:46:75:F7

  • das Zertifikat einer CA hat das Gegenstück „Subject Key Identifier“ (der Fingerprint des Schlüssels der zum Zertifikat gehört):

 X509v3 Subject Key Identifier: 
                08:76:CD:CB:07:FF:24:F6:C5:CD:ED:BB:90:BC:E2:84:37:46:75:F7

Die Beiden Key Identifier stimmen überein und besagen das das Zertifikat durch die CA zu der das andere Zertifikat gehört signiert worden ist.
Natürlich hat ein „normales Zertifikat“ auch einen Subject Key Identifier und ein CA-Zertifikat auch einen Authority Key Identifier.

Woran erkennt man ein CA-Zertifikat

  • das Zertifikat hat eine Basic Constraints Section mit gesetztem CA-Flag:

  X509v3 Basic Constraints: critical
                CA:TRUE

  • eine Key Usage Section mit „Certificate Sign“ Flag:

 X509v3 Key Usage: critical
                Certificate Sign, CRL Sign

Wie unterscheidet man ein intermediate CA-Zertifikat und ein Root-CA-Zertifikat

  • ein Intermediate-Zertifikat hat eine „Authority Key Identifier“ Sektion die auf den Subject-Key eines anderen Zertifikates (der CA die das Zertifikat der intermediate CA signiert hat → also die nächst höhere Station in der Chain)
  • ein Root-CA-Zertifikat hat keine Sektion „Authority Key Identifier“ und Subject- und Issuer-Eintrag sind identisch
    • das kommt daher da das Zertifikat self-signed ist (es gibt ja keine höhere Stelle die es signiert haben könnte)
ssl.1613167008.txt.gz · Zuletzt geändert: 2021/02/12 22:56 von root

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki