signatur:chainoftrust:start
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
| signatur:chainoftrust:start [2023/12/11 08:12] – angelegt Martin Pabst | signatur:chainoftrust:start [2023/12/11 09:58] (aktuell) – Martin Pabst | ||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| + | ====== Zertifikatskette (Chain of Trust) ====== | ||
| + | <WRAP center round info 80%> | ||
| + | Da jährlich viele Millionen Zertifikate ausgestellt werden und jeweils die Identität der Zertifikatsinhaber bzw. die Inhaberschaft der Domain überprüft werden muss, gibt es viele Zertifizierungsstellen (Certificate Authorities, | ||
| + | * Die Browserhersteller vertrauen einer kleinen Menge von Root-CAs. | ||
| + | * Die Root-CAs überprüfen die Vertraulichkeit weiterer CAs (intermediate CAs) und signieren deren Zertifikate. | ||
| + | * ... es folgen weitere Stufen von intermediate CAs ... | ||
| + | * Die intermediate-CAs signieren die Zertifikate der Endnutzer. | ||
| + | </ | ||
| + | |||
| + | {{ : | ||
| + | |||
| + | <WRAP center round info 80%> | ||
| + | **Überprüfen des Zertifikats** \\ \\ | ||
| + | Der Webserver schickt dem Client beim SSL-Handshake üblicherweise nicht nur sein eigenes Zertifikat, sondern die ganze Chain of trust mit Ausnahme des Zertifikats der Root-CA, das im Browser bereits vorliegt. Der Browser verifiziert mit dem ihm vorliegenden public key der Root-CA das Zertifikat der ersten Intermediate CA, mit deren public key das Zertifikat der zweiten Intermediate CA usw. bis er beim Zertifikat des Webservers angelangt. Aus diesem entnimmt er dann den - soeben verifizierten - public key des Webservers und fährt damit mit dem SSL-Handshake fort. | ||
| + | </ | ||