it-swarm.com.de

Welche Websites können durch ein bestimmtes SSL-Zertifikat geschützt werden?

Welche Websites (URLs) können durch ein SSL-Zertifikat geschützt werden?

Beispielsweise verfügt www.security.hsbc.co.uk über ein SSL-Zertifikat. Kann dieses Zertifikat zum Schutz anderer Websites (URLs) verwendet werden? Etwas, das vielleicht von diesem abzweigt?

9
Mandingo

Wenn Sie das Zertifikat in Ihrem Webbrowser anzeigen, sollten Sie in der Lage sein, den Wert certificate subject alternative name Für das Zertifikat zu finden. Daraufhin wird eine Liste aller Sites angezeigt, die mit diesem Zertifikat gesichert werden können, zusätzlich zu der Site, die im common name Für das Zertifikat angezeigt wird. Möglicherweise werden in einigen Namen Platzhalterwerte angezeigt, z. B. * .hsbc.co.uk oder * .security.hsbc.co.uk.

Wenn Sie sich beispielsweise das Zertifikat ansehen, das diese Seite schützt, werden Sie feststellen, dass Stack Exchange ein Zertifikat für alle Standorte verwendet:

Firefox :

(SANs for Stack Exchange's certificate

Chrome :

(enter image description here

Die Site, auf der wir uns gerade befinden, https://security.stackexchange.com, Wird durch den Platzhalter SAN *.stackexchange.com Abgedeckt.

Beachten Sie, dass für jede Site, die in diesen Feldern aufgeführt ist, dieses Zertifikat verwendet werden soll, die Site den privaten Schlüssel benötigt, der dem öffentlichen Schlüssel im Zertifikat entspricht.

Diese Bedingungen müssen erfüllt sein, damit Ihr Browser ohne Warnungen eine SSL/TLS-Verbindung zur Site herstellen kann.

31
mti2935

Damit eine Site ein bestimmtes X.509-Zertifikat (den von TLS/SSL verwendeten Zertifikatstyp) erfolgreich verwenden kann, muss sie einige spezifische Anforderungen erfüllen:

  • Es muss den richtigen privaten Schlüssel für das Zertifikat haben. Ohne dies ist nichts anderes wichtig, da der Server die Kommunikation sonst nicht korrekt verschlüsseln kann.
  • Die Zertifizierungsstelle, die das Zertifikat signiert hat, muss vom Browser des Benutzers als vertrauenswürdig eingestuft werden (entweder weil die Browserentwickler/-anbieter ihm von Natur aus vertrauen oder weil der Benutzer (oder die Person, die ihr System eingerichtet hat) den Browser so konfiguriert hat, dass er ihm vertraut). Ohne dies vertraut der Browser nicht darauf, dass das Zertifikat an und für sich sicher ist.
  • Der Zugriff muss über einen Domänennamen erfolgen, der entweder mit dem allgemeinen Namen übereinstimmt, für den das Zertifikat ausgestellt wurde, oder über einen der im Zertifikat aufgeführten alternativen Betreffnamen. Ohne dies kann der Browser dem Zertifikat vertrauen, lässt es jedoch nicht für diese Site verwenden. Einige Browser überprüfen den allgemeinen Namen überhaupt nicht und erfordern eine Übereinstimmung mit dem alternativen Betreff.
  • Das Zertifikat muss noch gültig sein. Dies bedeutet, dass das Client-System Datum und Uhrzeit nach dem im Zertifikat angegebenen Ausstellungsdatum, jedoch vor dem im Zertifikat angegebenen Ablaufdatum sehen muss. Abhängig vom Browser und der Site können auch andere Überprüfungen für diesen Teil durchgeführt werden (z. B. kann eine Zertifikatsperrliste von der Zertifizierungsstelle überprüft oder das Zertifikat über OCSP validiert werden). Das Nichterfüllen dieser Anforderung ist effektiv dasselbe wie das Nichterfüllen der zweiten Anforderung.

Jede Website, die alle vier Anforderungen für das Zertifikat erfüllt, kann dieses Zertifikat verwenden. Einige Browser warnen den Benutzer möglicherweise, anstatt den Zugriff auf die Site zu blockieren, wenn eine der oben genannten Anforderungen außer der ersten nicht erfüllt wird. Dies wird jedoch immer seltener, da HSTS zur Norm wird (wenn eine Site dies verlangt hat) Für HSTS sollte der Browser den gesamten Zugriff ohne ein Zertifikat blockieren, das nicht alle vier Anforderungen erfüllt.

10
  1. Ein Platzhalterzertifikat ist ein digitales Zertifikat, das auf eine Domain und alle ihre Subdomains angewendet wird (*.domainname.example.com)
  2. Mit einem Multi-Domain-Zertifikat können Sie mehrere vollqualifizierte Websites mit einem Zertifikat sichern (domainname1.example.com, domainname2.example.com, ...)
2
Refineo