https://www.opennet.ru/openforum/vsluhforumID10/4965.html У сайта domain.com есть Thawte SSL сертификат. <br>Обычная схема - у клиента сертификата нет, он просто заходит на сайт и если сертификат поддельный видит что этому сайту нельзя доверять. <br>Браузер клиента запрашивает IP домена domain.com у DNS, устанавливает соединение с этим IP и получает открытый ключ и сертификат, а далее браузер проверяет подлинность сертификата... объясните пожалуйста как?<br> https://www.opennet.ru/openforum/vsluhforumID10/4965.html#16 Tue, 15 Nov 2011 04:20:45 GMT &gt; Вот уж я сомневаюсь, что CRL засасывается Вашим компом у CA всякий <br>&gt; раз, когда Вы открываете https-ный сайт. Читайте, как обновляется CRL в <br>&gt; Windows.<br><br> Не всякий. Но засасывается. http://blogs.technet.com/b/pki/archive/2007/09/13/how-to-refresh-the-crl-cache-on-windows-vista.aspx<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4965.html#15 Mon, 14 Nov 2011 18:47:31 GMT &gt; Остается упомянутый выше механизм CRL. ;) Вот тут уж никуда без запроса. <br><br>Вот уж я сомневаюсь, что CRL засасывается Вашим компом у CA всякий раз, когда Вы открываете https-ный сайт. Читайте, как обновляется CRL в Windows.<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4965.html#14 Mon, 14 Nov 2011 18:35:19 GMT Остается упомянутый выше механизм CRL. ;) Вот тут уж никуда без запроса.<br> https://www.opennet.ru/openforum/vsluhforumID10/4965.html#13 Mon, 14 Nov 2011 15:47:53 GMT &gt; это я все знаю, это и так понятно. вопрос как технически это <br>&gt; происходит? в чем защита? ведь клиент не получает закрытого ключа, он <br>&gt; получает данные доступные любому, кто зашел на сайт, и если сайт <br>&gt; поддельный то он даст те же данные сертификата, и браузер запросив <br>&gt; подтверждение у CA так же получит положительный ответ.<br>&gt; В же чем защита?<br><br>Уже всё разъяснили, попробую ещё проще.<br>Сервер присылает свой сертификат, в котором помимо своего открытого ключа есть цифровая подпсь CA, где закрытым ключем CA зашифровано: "Верь, Вася. Это в самом деле ключ сайта pupkin.ru"<br>Клиент в своей базе находит открытый ключ CA и расшифровывает эту сигнатуру.<br> https://www.opennet.ru/openforum/vsluhforumID10/4965.html#12 Mon, 14 Nov 2011 15:42:44 GMT Дядь Федор.<br>Открытые ключи CA общеизвестны и хранятся локально в браузере и/или ОС, поэтому для проверки подписи CA обращаться к нему лично нет необходимости и браузеры обычно этого не делают. Тобиш, SSL будет работать, даже если сам CA недоступен.<br> https://www.opennet.ru/openforum/vsluhforumID10/4965.html#11 Mon, 14 Nov 2011 13:00:23 GMT &gt; сначала проверяет по внутренней базе.<br>&gt; а иначе откуда он будет знать, как обратиться к СА ?<br><br> Список CA есть в каждом браузере - называются CTL - Certificate Trust Lists. Оттуда и знает. Кроме того - имя CA есть в самом сертификате, который посылает сервер на этапе хэндшейкинга (первичной фазы SSL-сеанса).<br><br>&gt; обращается за проверкой по CRL.<br><br> CRL - проверка не действенность (неотозванность) сертификата - всего лишь одна из фаз проверки. В описании выше я о ней не указал - согласен. :) Просто забыл.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/4965.html#10 Mon, 14 Nov 2011 12:36:33 GMT &gt;&gt; ну и зачем вводить в заблуждение?<br>&gt;&gt; Клиент, получив сертификат, используя имеющуюся у себя базу корневых сертификатов, проверяет <br>&gt;&gt; валидность сертификата. Валидность - это степень доверия, определяется, действительно <br>&gt;&gt; ли подписан ли полученный сертификат корневым или нет. Если подписан, то <br>&gt;&gt; тогда "типа да, доверяем".<br>&gt; Я правильно понял Вашу мысль? То есть - клиент ВООБЩЕ не <br>&gt; обращается к CA, у которого запрашивает достоверность полученного сертификата? А сравнивает <br>&gt; с некой своей базой сертфикатов, хранящихся у самого клиента (в браузере)? <br>&gt; По-моему, Вы не правы.<br><br>сначала проверяет по внутренней базе. <br>а иначе откуда он будет знать, как обратиться к СА ?<br><br>&gt; Но спорить не буду - просто не интересовался подробностями.<br><br>обращается за проверкой по CRL.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/4965.html#9 Mon, 14 Nov 2011 12:20:13 GMT Да вот тут описаны все 5 этапов сего действа - https://developer.mozilla.org/en/Introduction_to_SSL#Server_Authentication В более подробном виде.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/4965.html#8 Mon, 14 Nov 2011 12:08:09 GMT &gt; ну и зачем вводить в заблуждение?<br>&gt; Клиент, получив сертификат, используя имеющуюся у себя базу корневых сертификатов, проверяет <br>&gt; валидность сертификата. Валидность - это степень доверия, определяется, действительно <br>&gt; ли подписан ли полученный сертификат корневым или нет. Если подписан, то <br>&gt; тогда "типа да, доверяем".<br><br> Я правильно понял Вашу мысль? То есть - клиент ВООБЩЕ не обращается к CA, у которого запрашивает достоверность полученного сертификата? А сравнивает с некой своей базой сертфикатов, хранящихся у самого клиента (в браузере)? По-моему, Вы не правы. Но спорить не буду - просто не интересовался подробностями.<br>