Popis proces ověřování serveru během SSL Handshake

Důrazně doporučujeme, aby všichni uživatelé upgradovali na Internetovou informační službu (IIS) verze 7.0 běžící na systému Microsoft Windows Server 2008. Služba IIS 7.0 výrazně zvyšuje zabezpečení webové infrastruktury. Další informace o tématech souvisejících se zabezpečením služby IIS naleznete na následujícím webu společnosti Microsoft:Další informace o službě IIS 7.0 naleznete na následujícím webu společnosti Microsoft:

Souhrn

Tento článek popisuje proces ověřování serveru během handshake protokol SSL (Secure Sockets Layer) (SSL).

Další informace

Během ověření SSL metodou handshake server odešle klientovi certifikát k ověření sebe sama. Klient používá certifikát k ověření identity představují osvědčení vydává.


Klientovi povolen protokol SSL prochází ověřovat identitu na serveru takto:

  1. V období platnosti je dnešní datum? Klient kontroluje dobu platnosti certifikátu serveru. Pokud je aktuální datum a čas mimo tento rozsah, proces ověřování nepřekračuje žádné další. Pokud je aktuální datum a čas v období platnosti certifikátu, klient přejde na krok 2.

  2. Je důvěryhodného certifikačního úřadu vydávajícího certifikačního úřadu (CA)? Každý klient s podporou SSL udržuje seznam důvěryhodných certifikátů certifikační Autority. Tento seznam určuje, které certifikáty serveru klient přijme. Je-li rozlišující název (DN) vystavujícího certifikačního úřadu odpovídá názvu domény certifikační Autority v seznamu důvěryhodných certifikačních autorit klienta, odpověď na tuto otázku je Ano a klient přejde na krok 3. Pokud vystavujícího certifikačního úřadu na seznamu není, server není ověřen, pokud klient může ověřit řetěz certifikátů, zakončenou certifikačním úřadem, který je na seznamu.

  3. Vystavujícího certifikačního úřadu, veřejný klíč ověřit digitální podpis vystavitele? Klient použije veřejný klíč Certifikačního úřadu certifikát (který se nachází ve svém seznamu důvěryhodných certifikačních autorit v kroku 2) Chcete-li ověřit digitální podpis Certifikačního úřadu certifikát serveru, který je právě zobrazen. Pokud informace v certifikátu serveru byl změněn od okamžiku podepsání certifikační autorita nebo veřejný klíč certifikátu certifikačního úřadu neodpovídá soukromý klíč použitý k podpisu serverového certifikátu Certifikačním úřadem, klient ověřování identity serveru. Pokud nelze ověřit digitální podpis Certifikačního úřadu, klient certifikát serveru jsou považovány za platné "potvrzení o zavedení" z dané certifikační Autority a pokračuje. V tomto okamžiku klient zjistil, zda je platný certifikát serveru. Je odpovědností klienta provést krok 4 před svým krokem 5.

  4. Odpovídá názvu domény v certifikátu serveru názvu domény serveru sám? Tento krok potvrzuje, že je server umístěn ve skutečnosti na stejnou síťovou adresu, která je určena podle názvu domény v certifikátu serveru. Přestože v kroku 4 není technicky část protokolu SSL, poskytuje pouze ochranu proti formě útok na zabezpečení známé jako "Útoku Man-in-the-Middle". Klienti musí provést tento krok a musí odmítnout ověření serveru nebo vytvořit připojení, pokud se neshodují názvy domén. Pokud na serveru skutečný název domény neodpovídá názvu domény v certifikátu serveru, klient přejde na krok 5.

  5. Je server ověřen. Klient pokračuje s SSL handshake. Pokud klient nezíská krok 5 z nějakého důvodu, server, který je identifikován certifikát nemůže být ověřen a uživatel je varován před problém a informováni, že nelze navázat připojení k šifrované a ověřené.

Odkazy

Další informace získáte klepnutím na níže uvedené číslo článku znalostní báze Microsoft Knowledge Base:

257591 popis Handshake (SSL) protokol SSL (Secure Sockets Layer)
Vlastnosti

ID článku: 257587 - Poslední kontrola: 12. 1. 2017 - Revize: 1

Váš názor