it-swarm-korea.com

중간 인증 기관이란 무엇입니까?

"중간 인증 기관"이란 무엇입니까?

9
user1157

모든 CA는 "중간 CA"일 수 있습니다. "중간 상태"는 검증자가 보는 방식에 의해 정의되기 때문입니다.

인증서의 유효성을 검사 할 때 인증서를 생성 한 CA가 해당 인증서 위에 생성 한 서명을 확인합니다. 이 서명은 CA 공개 키와 비교하여 확인됩니다. CA 공개 키를 "내재적으로"알고있는 경우 (예 : 운영 체제와 함께 배포 된 CA 공개 키 중 하나) CA는 신뢰 앵커이며 루트라고도 함) CA. 반면, CA 인증서 (another CA에 의해 해당 CA에 발급 된 인증서)의 유효성 검사를 통해서만 CA 공개 키를 알고 있으면 CA는 "중간"으로 간주됩니다. "중간"이라는 이름은 CA가 신뢰 체인에있는 위치를 설명하는 것으로 볼 수 있습니다. 트러스트 앵커가 시작되고 끝 엔터티가 끝 (duh!)이며 그 사이의 모든 것이 "중간"입니다. .

인증서 내용을 가져 와서 본인의 키로 사임함으로써 동의 나 인식 없이도 CA에 대한 인증서를 발급 할 수 있습니다. 이것은이 지구상의 모든 단일 CA가 잠재적으로 중간 CA라는 것을 의미합니다.

13
Thomas Pornin

CA는 다른 "중간"CA에 서명 권한을 위임 할 수 있으며 신뢰 당사자가 사용하는 경로 유효성 검사 규칙에 따라 원본만큼 신뢰할 수 있습니다.

특히 많은 CA가 신뢰할 수있는 루트 저장소에있을 수 있으므로 문제가 될 수 있습니다. 예를 들어 아래 참고 문헌의 20 페이지 정도의 성적표 :

"… 세계 각국 정부는 법적으로 자국의 SSL 인증 기관에 중간 CA 인증서를 발급하여 해당 기관의 기관이 보안 SSL 연결을 비밀리에 가로 채서 해독 및 모니터링 할 수 있도록합니다."
— Steve Gibson, 지금 보안 에피소드 # 243 "SSL의 상태 하위 버전" .

이를 위해서는 실제 트래픽에 대한 액세스가 여전히 필요하지만 결정된 적이 종종이를 수행 할 수있는 다양한 방법이 있습니다.

이것을 단일 루트가 있고 하위 도메인과 연관된 키가 연관된 하위 도메인에 대해서만 보증 할 수있는 DNSSEC의 상황과 대조하십시오.

CA의 실수로 또는 악의적으로 발급 된 인증서를 제외하고 MITM을 피하려면 ImperialViolet-DNSSEC 및 TLS 를 참조하십시오. CA 인증서가없는 사이트에도 적용됩니다.

6
nealmcb