воскресенье, 20 сентября 2009 г.

Проверка действительности сертификата SSL в броузере Internet Explorer

При обсуждении деталей создания единого удостоверяющего центра для организации заказчика возник вопрос о проверке цифровых сертификатов типа X.509, используемых для организации сессии SSL протокола HTTPS при публикации web-приложений в Интернет. Вопрос довольно простой - проверяет ли броузер действительность сертификата не только по дате издания и названию ресурса, но и по опубликованному списку отозванных сертификатов? Ответ нашелся не быстро (помогли коллеги из ssl.ru) поэтому публикую его отдельной статьей.

Вопрос.

Осуществляет ли броузер Internet Explorer или Firefox проверку корректности cертификата SSL перед началом сессии HTTPS согласно списку отозванных сертификатов провайдера этого сертификата? Или же проверяется только корректность подписи удостоверяющего центра этого сертификата, даты его действия и соответствия имени ресурса указанному в сертификате? Если осуществляется проверка по CRL то как часто он
обновляется? Или действует иная схема аутентификации ресурса и сертификата?

Ответ.

С версий Internet Explorer 7.0 или Firefox 5.0 осуществляются автоматически проверка корректности сертификатов (по CRL файлу сертификационного центра), в том случае если удалось соединиться с корневым центром сертификации. Но каждый конкретный пользователь или администратор может запретить эту проверку, по-умолчанию.

Проверка аннулированных сертификатов в Internet Explorer активируется в свойствах обозревателя: Internet Options -> Advanced -> "Check for publishers certificate revocation"/ Свойства обозревателя -> Дополнительно -> "Проверять аннулирование сертификатов издателя".

При этом, конечный пользователь, который будет заходить на сайт, защищенный сертификатом, в любой момент сможет самостоятельно проверить является ли тот сертификат, который он просматривает, действительным. Для этих целей, например, в Thawte предусмотрено расположение баннера, нажав на который Вы переходите на страницу проверки валидности сертификата. Так же предусмотрена страница, где можно по доменному имени проверить сертификат, даже если баннер отсутствует:
https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=SO9555&actp=RELATED_RESOURCE

Также Вы можете самостоятельно оповестить своих клиентов, что сертификат, со старым открытым ключом в данный момент отозван. Так как в любом случае, сертификат, полученный для конкретного доменного имени не может быть использован на другом доменном имени.

Комментариев нет: