2. 질의 응답
  3. 작동 방법 : 하나의 SSL 인증서 두 개의 서로 다른 체인과 두 개의 다른 루트 CA 발견

작동 방법 : 하나의 SSL 인증서 두 개의 서로 다른 체인과 두 개의 다른 루트 CA 발견

2012-05-21 3 views
1

GeoTrust에서 SSL 인증서를 구입했습니다.작동 방법 : 하나의 SSL 인증서 두 개의 서로 다른 체인과 두 개의 다른 루트 CA 발견

서로 다른 장치에서 인증서 체인을 확인했을 때 두 개의 서로 다른 체인을 발견했습니다. 두 체인 모두 유효합니다 ! 체인에

C = US, 루트-CA 끝나는 O = 이퀴 팩스, OU = 이퀴 팩스 인증 기관C는 미국 = 루트 CA에서 다른 하나는, O = GeoTrust의 주식, CN = GeoTrust의 보안 글로벌 CA.

이 체인 사이의 다른 점은 첫 번째 체인에 있습니다. "GeoTrust Global CA"는 "Equifax Secure Certificate Authority"가 서명하고 두 번째 "GeoTrust Global CA"는 자체 서명합니다. 그러나 "GeoTrust Global CA"의 지문은 C0 : 7A : 98 : 68 : 8D : 89 : FB : AB : 05 : 64 : 0C : 11 : 7D : AA : 7D : 65 : B8 : CA : CC : 4E "이면 일련 번호 만 다릅니다.

어떻게 가능합니까? 나는 ssl 인증서, 그들과 지문의 지문이 독특하다고 생각했습니다!

체인 1)

1A) C = US, O = GeoTrust의 주식, OU = 도메인 인증 됨 SSL, C = US로 CN은 = GeoTrust의 DV SSL CA 기호, O = GeoTrust의 주식, CN은 = GeoTrust의 글로벌 CA

Data: 
    Version: 3 (0x2) 
    Serial Number: 145106 (0x236d2) 
    Signature Algorithm: sha1WithRSAEncryption 
    Issuer: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA 
    Validity 
     Not Before: Feb 26 21:32:31 2010 GMT 
     Not After : Feb 25 21:32:31 2020 GMT 
    Subject: C=US, O=GeoTrust Inc., OU=Domain Validated SSL, CN=GeoTrust DV SSL CA 
    X509v3 extensions: 
     X509v3 Key Usage: critical 
      Certificate Sign, CRL Sign 
     X509v3 Subject Key Identifier: 
      8C:F4:D9:93:0A:47:BC:00:A0:4A:CE:4B:75:6E:A0:B6:B0:B2:7E:FC 
     X509v3 Authority Key Identifier: 
      keyid:C0:7A:98:68:8D:89:FB:AB:05:64:0C:11:7D:AA:7D:65:B8:CA:CC:4E

1B) C는 미국 =, O = GeoTrust의 주식, C에 의해 CN은 = GeoTrust의 글로벌 CA 기호 미국 =, O = 이퀴 팩스, OU = 이퀴 팩스 안전 Cer tificate 기관

Data: 
    Version: 3 (0x2) 
    Serial Number: 1227750 (0x12bbe6) 
    Signature Algorithm: sha1WithRSAEncryption 
    Issuer: C=US, O=Equifax, OU=Equifax Secure Certificate Authority 
    Validity 
     Not Before: May 21 04:00:00 2002 GMT 
     Not After : Aug 21 04:00:00 2018 GMT 
    Subject: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA 
    X509v3 extensions: 
     X509v3 Authority Key Identifier: 
      keyid:48:E6:68:F9:2B:D2:B2:95:D7:47:D8:23:20:10:4F:33:98:90:9F:D4 

     X509v3 Subject Key Identifier: 
      C0:7A:98:68:8D:89:FB:AB:05:64:0C:11:7D:AA:7D:65:B8:CA:CC:4E 
     X509v3 Basic Constraints: critical 
      CA:TRUE

1C) 루트-CA C = US, O = 이퀴 팩스, OU = 이퀴 팩스) 인증 기관

Data: 
    Version: 3 (0x2) 
    Serial Number: 903804111 (0x35def4cf) 
    Signature Algorithm: sha1WithRSAEncryption 
    Issuer: C=US, O=Equifax, OU=Equifax Secure Certificate Authority 
    Validity 
     Not Before: Aug 22 16:41:51 1998 GMT 
     Not After : Aug 22 16:41:51 2018 GMT 
    Subject: C=US, O=Equifax, OU=Equifax Secure Certificate Authority 
    X509v3 extensions: 
     X509v3 Private Key Usage Period: 
      Not After: Aug 22 16:41:51 2018 GMT 
     X509v3 Key Usage: 
      Certificate Sign, CRL Sign 
     X509v3 Authority Key Identifier: 
      keyid:48:E6:68:F9:2B:D2:B2:95:D7:47:D8:23:20:10:4F:33:98:90:9F:D4 

     X509v3 Subject Key Identifier: 
      48:E6:68:F9:2B:D2:B2:95:D7:47:D8:23:20:10:4F:33:98:90:9F:D4

체인 2)

2A 보안 C = US, O = GeoTrust Inc., OU = 도메인 확인 SSL, CN = GeoTrust DV SSL CA 기호 by C는 O = GeoTrust의 주식, CN = GeoTrust의 글로벌 CA

Data: 
    Version: 3 (0x2) 
    Serial Number: 145106 (0x236d2) 
    Signature Algorithm: sha1WithRSAEncryption 
    Issuer: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA 
    Validity 
     Not Before: Feb 26 21:32:31 2010 GMT 
     Not After : Feb 25 21:32:31 2020 GMT 
    Subject: C=US, O=GeoTrust Inc., OU=Domain Validated SSL, CN=GeoTrust DV SSL CA 
    X509v3 extensions: 
     X509v3 Key Usage: critical 
      Certificate Sign, CRL Sign 
     X509v3 Subject Key Identifier: 
      8C:F4:D9:93:0A:47:BC:00:A0:4A:CE:4B:75:6E:A0:B6:B0:B2:7E:FC 
     X509v3 Authority Key Identifier: 
      keyid:C0:7A:98:68:8D:89:FB:AB:05:64:0C:11:7D:AA:7D:65:B8:CA:CC:4E

2B) 루트-CA C는 미국 =, O = GeoTrust의 주식, CN = GeoTrust의 글로벌 CA

Data: 
    Version: 3 (0x2) 
    Serial Number: 144470 (0x23456) 
    Signature Algorithm: sha1WithRSAEncryption 
    Issuer: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA 
    Validity 
     Not Before: May 21 04:00:00 2002 GMT 
     Not After : May 21 04:00:00 2022 GMT 
    Subject: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA 
    X509v3 extensions: 
     X509v3 Basic Constraints: critical 
      CA:TRUE 
     X509v3 Subject Key Identifier: 
      C0:7A:98:68:8D:89:FB:AB:05:64:0C:11:7D:AA:7D:65:B8:CA:CC:4E 
     X509v3 Authority Key Identifier: 
      keyid:C0:7A:98:68:8D:89:FB:AB:05:64:0C:11:7D:AA:7D:65:B8:CA:CC:4E
미국 =

출처

2012-05-21 TimCgn74

+0

두 인증서가 동일하다고 생각하십니까? – EJP

+0

** 1b 및 2b의 제목 및 지문! ** 그러나 발급자는 다릅니다. 1b와 2b가 동일한 지문을 가질 수있는 방법 "C0 : 7A : 98 : 68 : 8D : 89 : FB : AB : 05 : 64 : 0C : 11 : 7D : AA : 7D : 65 : B8 : CA : CC : 4E "? 지문에 발행자 정보가 포함되어 있다고 생각했습니다. 이 경우 지문은 달라야합니다. – TimCgn74

+0

일련 번호가 다릅니다. – EJP

답변

4

1b는 "교차 인증서"입니다. Equifax가 발행 한 Geotrust의 루트 인증서. 2b는 동일한 키이지만 자체 서명 된 루트입니다.

교차 인증서는 일반적으로 루트 인증서가 Mozilla/Microsoft/etc 루트 프로그램에 수락되기 전에 신뢰할 수있게 만드는 데 사용됩니다. 이러한 프로그램이 루트를 수락하면 일반적인 자체 서명 된 인증서로 사용할 수 있습니다.

출처

2012-05-21 10:53:50 Jumbogram

+0

1b와 2b가 동일한 지문을 가질 수있는 방법 "C0 : 7A : 98 : 68 : 8D : 89 : FB : AB : 05 : 64 : 0C : 11 : 7D : AA : 7D : 65 : B8 : CA : CC : 4E "? 지문에 발행인 정보가 포함되어 있다고 생각했습니다. 이 경우 지문은 달라야합니다. 그게 내 문제 야. 아니면 발급자가 지문 해시에 포함되어 있지 않습니까? – TimCgn74

+0

@ user1407485 당신이 말하는 식별자는 주체/기관 키 식별자입니다. 공개 키만 사용되며 인증서는 사용되지 않습니다. ([관련이 될 수 있습니다] (http://security.stackexchange.com/a/14345/2435) – Bruno

+0

기본 질문 : "X509v2 Subject Key Identifier"는 "지문"과 같지 않습니까? – TimCgn74

 관련 문제

  • 관련 문제 없음^_^