デジタル証明書SSLをどのように検証しますか?応答が正しいWebサイトから来たことを知っているように?
1356 次
1 に答える
0
証明書の検証手順は、RFC5280およびいくつかの補足標準で説明されています。これは非常に複雑で、使用する予定のツール/ライブラリ/コンポーネントによって異なります。
簡単に説明すると、手順は次のとおりです。
- CA証明書を検索します。それが欠落している場合は、検証がうまくいきません。証明書が自己署名されている場合、ユーザーはこの証明書を信頼できるかどうかを判断する必要があります。
- 接続しているサイトに証明書が発行されていることを確認します([サブジェクト]フィールドと[サブジェクト代替名の拡張子]を調べて)
- 証明書がSSLに使用できることを確認します([キーの使用状況]フィールドを検査します)
- CRLおよびOCSPレスポンダーを使用して証明書が取り消されていないことを確認してください。
- 上記のすべてに問題がない場合は、同様の方法でCA証明書を検証します。信頼できる証明書に到達するまで繰り返します(信頼できるルートまたは以前に信頼されたCAの場合があります)。
SecureBlackboxライブラリで上記のすべてを実行する完全で柔軟な証明書バリデーターを実装しました。
于 2011-01-12T07:24:50.343 に答える