它是如何工作的:找到一个 SSL 证书,两个不同的链和两个不同的根 CA

【问题标题】:How does it work: Found one SSL certificate two different chains and two different root CAs它是如何工作的:找到一个 SSL 证书,两个不同的链和两个不同的根 CA
【发布时间】:2012-05-27 19:30:09
【问题描述】:

我从 GeoTrust 购买了 SSL 证书。

在检查不同设备上的证书链时,我发现两个不同的链。两条链都有效!

链结束于 Root-CA C=US, O=Equifax, OU=Equifax Secure Certificate Authority 另一个在 Root-CA C=US, O=GeoTrust Inc ., CN=GeoTrust Global CA

这些链之间的不同之处在于,第一个链“GeoTrust Global CA”由“Equifax Secure Certificate Authority”签名,而第二个“GeoTrust Global CA”是自签名的。但在两条链中,“GeoTrust Global CA”的指纹都是“C0:7A:98:68:8D:89:FB:AB:05:64:0C:11:7D:AA:7D:65:B8:CA: CC:4E",只有序列号不同。

这怎么可能?我以为 ssl 证书,它们的指纹和证书是独一无二的!

链 1)

1a) C=US, O=GeoTrust Inc., OU=Domain Validated SSL, CN=GeoTrust DV SSL CAC=US, O=GeoTrust Inc., CN 签名=GeoTrust Global CA

Data:
    Version: 3 (0x2)
    Serial Number: 145106 (0x236d2)
    Signature Algorithm: sha1WithRSAEncryption
    Issuer: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
    Validity
        Not Before: Feb 26 21:32:31 2010 GMT
        Not After : Feb 25 21:32:31 2020 GMT
    Subject: C=US, O=GeoTrust Inc., OU=Domain Validated SSL, CN=GeoTrust DV SSL CA
    X509v3 extensions:
        X509v3 Key Usage: critical
            Certificate Sign, CRL Sign
        X509v3 Subject Key Identifier:
            8C:F4:D9:93:0A:47:BC:00:A0:4A:CE:4B:75:6E:A0:B6:B0:B2:7E:FC
        X509v3 Authority Key Identifier:
            keyid:C0:7A:98:68:8D:89:FB:AB:05:64:0C:11:7D:AA:7D:65:B8:CA:CC:4E

1b) C=US, O=GeoTrust Inc., CN=GeoTrust Global CAC=US, O=Equifax, OU=Equifax 安全证书颁发机构签名 

Data:
    Version: 3 (0x2)
    Serial Number: 1227750 (0x12bbe6)
    Signature Algorithm: sha1WithRSAEncryption
    Issuer: C=US, O=Equifax, OU=Equifax Secure Certificate Authority
    Validity
        Not Before: May 21 04:00:00 2002 GMT
        Not After : Aug 21 04:00:00 2018 GMT
    Subject: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
    X509v3 extensions:
        X509v3 Authority Key Identifier:
            keyid:48:E6:68:F9:2B:D2:B2:95:D7:47:D8:23:20:10:4F:33:98:90:9F:D4

        X509v3 Subject Key Identifier:
            C0:7A:98:68:8D:89:FB:AB:05:64:0C:11:7D:AA:7D:65:B8:CA:CC:4E
        X509v3 Basic Constraints: critical
            CA:TRUE

1c) 根 CA C=US, O=Equifax, OU=Equifax 安全证书颁发机构

Data:
    Version: 3 (0x2)
    Serial Number: 903804111 (0x35def4cf)
    Signature Algorithm: sha1WithRSAEncryption
    Issuer: C=US, O=Equifax, OU=Equifax Secure Certificate Authority
    Validity
        Not Before: Aug 22 16:41:51 1998 GMT
        Not After : Aug 22 16:41:51 2018 GMT
    Subject: C=US, O=Equifax, OU=Equifax Secure Certificate Authority
    X509v3 extensions:
        X509v3 Private Key Usage Period:
            Not After: Aug 22 16:41:51 2018 GMT
        X509v3 Key Usage:
            Certificate Sign, CRL Sign
        X509v3 Authority Key Identifier:
            keyid:48:E6:68:F9:2B:D2:B2:95:D7:47:D8:23:20:10:4F:33:98:90:9F:D4

        X509v3 Subject Key Identifier:
            48:E6:68:F9:2B:D2:B2:95:D7:47:D8:23:20:10:4F:33:98:90:9F:D4

链 2)

2a) C=US, O=GeoTrust Inc., OU=Domain Validated SSL, CN=GeoTrust DV SSL CAC=US, O=GeoTrust Inc., CN 签名=GeoTrust Global CA

Data:
    Version: 3 (0x2)
    Serial Number: 145106 (0x236d2)
    Signature Algorithm: sha1WithRSAEncryption
    Issuer: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
    Validity
        Not Before: Feb 26 21:32:31 2010 GMT
        Not After : Feb 25 21:32:31 2020 GMT
    Subject: C=US, O=GeoTrust Inc., OU=Domain Validated SSL, CN=GeoTrust DV SSL CA
    X509v3 extensions:
        X509v3 Key Usage: critical
            Certificate Sign, CRL Sign
        X509v3 Subject Key Identifier:
            8C:F4:D9:93:0A:47:BC:00:A0:4A:CE:4B:75:6E:A0:B6:B0:B2:7E:FC
        X509v3 Authority Key Identifier:
            keyid:C0:7A:98:68:8D:89:FB:AB:05:64:0C:11:7D:AA:7D:65:B8:CA:CC:4E

2b) 根 CA C=US, O=GeoTrust Inc., CN=GeoTrust Global CA

Data:
    Version: 3 (0x2)
    Serial Number: 144470 (0x23456)
    Signature Algorithm: sha1WithRSAEncryption
    Issuer: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
    Validity
        Not Before: May 21 04:00:00 2002 GMT
        Not After : May 21 04:00:00 2022 GMT
    Subject: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
    X509v3 extensions:
        X509v3 Basic Constraints: critical
            CA:TRUE
        X509v3 Subject Key Identifier:
            C0:7A:98:68:8D:89:FB:AB:05:64:0C:11:7D:AA:7D:65:B8:CA:CC:4E
        X509v3 Authority Key Identifier:
            keyid:C0:7A:98:68:8D:89:FB:AB:05:64:0C:11:7D:AA:7D:65:B8:CA:CC:4E

【问题讨论】:

  • 你认为哪两个证书是一样的?
  • 1b和2b的主体和指纹!但是发行人不同。 1b和2b怎么可能有相同的指纹“C0:7A:98:68:8D:89:FB:AB:05:64:0C:11:7D:AA:7D:65:B8:CA:CC :4E”?我认为指纹包括发行者信息。在这种情况下,指纹必须不同。
  • 序列号不同。

标签: ssl openssl ssl-certificate x509certificate x509


【解决方案1】:

1b 是“交叉证书”;由 Equifax 颁发的 Geotrust 根证书。 2b 是同一个密钥,但是是一个自签名的根。

交叉证书通常用于在根证书被 Mozilla/Microsoft/etc 根程序接受之前使根证书受信任。当根被这些程序接受后,它就可以用作普通的自签名证书。

【讨论】:

  • 但是 1b 和 2b 怎么可能有相同的指纹 "C0:7A:98:68:8D:89:FB:AB:05:64:0C:11:7D:AA: 7D:65:B8:CA:CC:4E”?我认为指纹包括发行者信息。在这种情况下,指纹必须不同。那是我的问题。还是发行者不包含在指纹哈希中?
  • @user1407485,您所说的标识符是主题/授权密钥标识符:仅使用公钥,不使用证书。 (This may be of interest.)
  • 基本问题:“X509v2 Subject Key Identifier”和“fingerprint”不一样?
  • 哦... :-O 指纹不一样!来自 1b 的指纹:SHA1 Fingerprint=73:59:75:5C:6D:F9:A0:AB:C3:06:0B:CE:36:95:64:C8:EC:45:42:A3 -- 指纹来自2b: SHA1 指纹=DE:28:F4:A4:FF:E5:B9:2F:A3:C5:03:D1:A3:49:A7:F9:96:2A:82:12 -- >> 但是什么是“X509v2 Subject Key Identifier”的意思吗?如果我可以为这个密钥设置我想要的每个值,那么证书链是否不安全?
  • 主题/授权密钥标识符只是用来帮助构建认证路径。 Applications are not required to verify that key identifiers match when performing certification path validation.。指纹也仅用于组织证书(除了 EV 证书,它们做得更多)。您真正需要的是匹配颁发者名称与 CA 的主题名称并检查签名是否有效(使用颁发者的公钥)。
猜你喜欢
  • 2011-04-05
  • 1970-01-01
  • 2011-05-05
  • 1970-01-01
  • 2020-12-01
  • 2019-11-20
  • 1970-01-01
  • 1970-01-01
  • 2011-02-15
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode