나는've 실행ssltest에 웹 응용 프로그램과 그것을 발견했"체인 문제를 포함하 앵커"(절"추가적 인증서(공급되는 경우)")
그것이 무엇을 의미합니까? 고쳐야 할까? 할 수 있는 그 악용될?
서버가 보내는 인증서를 클라이언트로 보내 certificate chain 그래서 클라이언트을 찾은 그것을 쉽게 확인하는 서버 인증서(클라이언트가하지 않 required 을 정확하게 사용하는 것 체인,하지만 실제로 대부분의 클라이언트가 사용하여 체인 및 다른 누구도). 이 설명서SSL/TLS 기준,절 7.4.2,으로,특히,이 깨달음이 발췌:
sender's 인증서 첫째로 와야 하는 목록에 있습니다. 각각 다음 인증서 직접 인증을 앞습니다. 기 인증서 유효성 검사에 필요로 하는 루트 키를 배포 독립적으로 자체 서명된 인증서를 지정하는 루트 인증 기관에서 생략될 수 있 체인에서, 가정 먼 종료해야 하며 그것을 소유하기 위해 유효성을 어떤 경우에도 빠지지 않았습니다.
이는's a"할 수 있"경우("할 수 있","해야 합","해야"...용어는 RFC 는 매우 정확한 의미를 설명서RFC2119),서버를 포함할 수 있는 루트 인증서(aka"트러스트 앵커")체인에서,또는 생략합니다. 어떤 서버는 그것을 포함하고,다른 사람은하지 않습니다. 일반 클라이언트 구현에 대한 의도를 사용하여 정확히 체인 보낸 것이 가장 먼저 찾는 체인 인증서의 신뢰는 상점;실패하는 것,그것을 찾기 위해 노력할 것입니다.issuer 에 대한"마지막"chain 인증서의 신뢰를 저장합니다. 그래서,어느 방법으로,이것은 표준을 준수하고,그리고 작업해야 합니다.
(거기에 사소한 소스의 혼란과 관련하여 체인이 순서입니다. 에서 진정한X.509,체인에서 주문을 신뢰 앵커를 end entity 인증서입니다. SSL/TLS"증"메시지에서 인코딩된 역방향기 위해,최종 entity 인증서,자격 서버 자체가 나오는 처음이다. 여기에,나는 사"마지막"SSL/TLS 용어,지 않은 X.509.)
만 나쁜 일이 될 수 있는 말에 대해 보내는 루트 체인에서는 사용자의 네트워크 대역폭을 불필요. 는's 에 대해 1kB 데이터 연결당 which 을 포함한 전체 handshake. 에서 일반적인 간의 세션 클라이언트(웹 브라우저)및 서버,하나의 연결 될 것입니다 유형의 다른 클라이언트의 연결을 사용할 것이"약 악수"을 초기,악수를 사용하지 않는 인증서. 각 연결은 생명을 유지를 위해 많은 계속되는 HTTP 요청합니다. 네트워크가 오버헤드 묵시적으로 루트를 보내는 경미합니다.
그것이 의미하는 인증서를 제공하는 사이트를 포함한 루트 인증서를 인증서 체인(chain 는 인증서를 연결하는 인증서의 발급,루트 인증서는 자체 발행).
으로 인증서를 신뢰할 수 있는 경우에 뿌리(또는 일부 inbetween)인증서의 사용은 명시적으로 신뢰할 수 있는 클라이언트에 의해 공급하는 루트 인증서가 필요하지 않다면 그것은 신뢰할 수 있는 클라이언트가 이미 있습니다. 보고서,방법에 의해 나타내는 것에 의해 아래로 더 발"에서 신뢰 store".
나't 을 고려하는 이유에 대한 경고,어쩌면만을 위한 힌트입니다. ssltest 또한 것 같이 행복을 고려하는 100%평가에 대한 인증서에 포함되어 있습니다.
이 있을 수도 있었을 활용한 다른 방법으로 주위:rogue 사이트에 공급하고 가짜 루트 인증서는 버 클라이언트가 실수를 위해 신뢰할 수 있는 사람,는 결과를 클라이언트에서 신뢰하는 사이트입니다. 사용자의 이러한 클라이언트 문제에서는 어쨌든,하지만.