openssl을 사용하여 공급자 웹 사이트의 중간 CA 인증서와 루트 CA 인증서의 다운로드 URL이 무엇인지 확인하는 방법은 무엇입니까?
즉, 사이트 인증서가 Rapidssl에서 가져온 것이라면 다음 위치에서 다운로드할 수 있는 openssl을 사용하여 CA 경로를 어떻게 찾을 수 있습니까? RapidSSL 중간 및 루트 CA 인증서 |
답변1
이것이 가능하다는 보장은 없습니다.
중간 인증서에서 언제든지 발급자의 신원을 찾을 수 있으며,선택적으로인증 키 식별자(기본적으로 상위 CA 인증서의 일련 번호) 및/또는 인증 정보 액세스 확장예 혹은 아니오루트 인증서를 가리키는 URL이 포함되어 있습니다.
마찬가지로 사이트 인증서에는 항상 선택적 확장과 함께 중개 CA(발급자)의 ID가 포함됩니다.가능한중간 CA 인증서의 일련번호와 URL이 포함되어 있지만 이는 엄격하게 보장되지는 않습니다.
다음 openssl 명령을 사용하여 인증서에서 모든 "흥미로운" 정보를 얻을 수 있습니다.
openssl x509 -noout -text -certopt no_pubkey,no_sigdump,no_header,ext_parse -nameopt multiline,show_type -in <certificate filename>
물론 이것은 상당히 길고 복잡한 명령이므로 이에 대한 별칭을 만들고 싶을 수도 있습니다. 대부분의 경우 학습과 기억을 돕기에는 더 간단한 버전으로도 충분합니다.
openssl x509 -noout -text -in <certificate filename>
이 명령의 출력에는 일반적으로 쓸모 없는 일부 16진수 덤프가 포함되어 있으며 매우 유용한 방식으로 새롭거나 알려지지 않은 인증서 확장을 제공하지 않을 수 있지만 대부분의 목적에 충분합니다.
체인을 다른 방식으로 추적하는 것은 더 어렵습니다. 루트 인증서는 일반적으로 중간 인증서보다 훨씬 오래 지속되므로 루트 CA 인증서가 생성될 때 중간 인증서의 일련 번호 및/또는 다운로드 URL을 반드시 알 수 있는 것은 아닙니다.
그럼에도 불구하고 인증서의 신뢰 체인을 성공적으로 확인할 때까지 임의 사이트의 인증서에 있는 정보를 신뢰해서는 안 됩니다. 편의 기능으로 사이트에서는 중간 CA 인증서(소위)를 제공할 수 있지만 이를 실제로 확인하려면 루트 인증서가 이미 신뢰할 수 있는 루트 인증서 저장소에 있어야 합니다.
실제로 사이트나 중간 인증서에서 알 수 없는 CA의 루트 CA 인증서 URL을 자동으로 감지할 수 없는 경우 더 안전할 수 있습니다. Google을 통해 해당 CA를 검색해야 하며, 가짜가 있거나 있었다면 CA 이름, 인증서를 사용 중이면 이에 대한 뉴스 기사를 볼 수 있는 기회가 있습니다.
그러면 인증서와 CA 자체의 세부 정보를 더 잘 볼 수 있고 CA가 충분히 신뢰할 수 있는지 평가할 수 있습니다. 본질적으로 이것이 이유입니다새 루트 CA 인증서를 설치할 때는 항상 누군가가 참여해야 합니다..