Hur avgöra om ett certifikat är korrekt och giltigt?
 

Som rubriken antyder så undrar jag hur sjutton jag ska kunna avgöra om ett certifikat är giltigt eller inte? Hur tusan ska en vanlig användare kunna avgöra det? Jag har trots allt ca 35 års erfarenhet av datorer och 25 års yrkeserfarenhet av systemutveckling.


Så vitt jag kan bedöma så kan detta certifikat komma från precis vem som helst med en dator och internetuppkoppling.

Certifikatet är utfärdat till den domän som det står. Utfärdarna ställer vissa krav på verifiering när man ber om ett certifikat så du kan vara tämligen säker att det är Oracle som står bakom - eller i alla fall den som kontrollerar domänen oracle.com.

CRL-felet (Certification Revocation List) som du får ser jag också ofta med just Java.. Jag har inte undersökt det närmare utan tror det löste sig med Java 7 Update 51.

Enligt http://www.sslshopper.com/ssl-checke...ure.oracle.com är allt ok med det cert.

Jag har aldrig hört talas om utfärdaren av certifikatet! Vad är det för kufar?

Hur vet jag att programmet kommer från Oracle, jag har inte gått in på Oracles webbsida, utan helt plötsligt dyker det upp en dialogruta på min dator där jag ska installera ett certifikat som jag inte litar på.

En av de största utfärdarna. Ägs nu av Symantec, var förut en del av Verisign.

GeoTrust ägs av Symantec. En av världens största och mest populära SSL-utfärdare. Jag har använt dem i över 10 år.

Clarence var ett par sekunder snabbare..... :-)

Din dator har en lista med godkända utfärdare ( som uppdateras ibland via t.ex. Windows Update) som t.ex. verisign, globalsign m.fl. Din dator litar på att deras rutiner för att sälja certifikat till andra är pålitliga (vilket jag anser att de egentligen inte är ) och då får man ingen varning för ett sånt ssl certifikat. Har du tillverkat ett eget certifikat ja då måste du lägga till ditt eget system som godkänd root certifikat utfärdare för att få bort varningar.

Din dator håller även en lista på opålitliga certifikat /ett flertal registrerade till i Microsofts namn) bl.a. från innan rutinerna för att dela ut blev strikta så att vem som helst kunde beställa ett certifikat hur som helst.

Ett tydligare svar på själva frågan: Du behöver inte avgöra om ett certifikat är korrekt, din dator gör det åt dig, därför måste datum/tid vara korrekt på din dator så den vet när det går ut.

För att hitta certifikathanteraren på din dator, sök efter: certmgr.msc

Det är ganska komplicerat, och jag kan inte alla detaljer själv, men lite förenklat så fungerar det ungefär såhär:

1) Du försöker ansluta till en server vars kommunikation är krypterad med SSL
2) Du laddar hem ett certifikat ifrån servern
3) Certifikatet kan ha en hel kedja med certifikat "över sig", där varje certifikat är signerat av certifikatet strax över sig i kedjan
4) Certifikatet längst upp i kedjan kan mycket väl vara det enda certifikatet, då är det ett så kallat "självsignerat" certifikat
5) Varje certifikat har en hel massa metadata instoppade, t.ex. giltighetstid, vad det får användas för (t.ex. autentisering, signering, kryptering, utfärdande av undercertifikat osv.), vilken/vilka domäner/personer/datorer/annat det är giltigt för, samt om det finns någonstans där man kan kolla upp ifall certifikatet är tillbakadraget (CRL/OCSP, i regel på någon webbserver någonstans i världen.)
6) Du kollar upp mot en lista med betrodda certifikat du redan har på datorn om några certifikat i den här kedjan är betrodda, och för vilka ändamål de är betrodda att användas. Dessutom kontrolleras giltighetstiden. Om certifikatet har information om någon server där man kan kontrollera att certifikatet är giltigt (eller snarare, att det inte förklarats ogiltigt) fortfarande så kontaktas den servern.
7) Om kedjan verkar hålla, dvs. att man hittar ett betrott certifikat med rätt att utfärda undercertifikat, och alla certifikat från där och neråt till det certifikat din server vill använda uppfyller alla villkor för att de ska vara giltiga, och det sista certifikatet får användas för att kryptera den här kommunikationen, så förklaras alltihopa giltigt.

Som ni ser så finns det ganska många steg där det kan bli problem, t.ex:

1) Fel giltighetstid (antingen gammalt certifikat, eller felaktig klocka)
2) Inget certifikat är betrott (På Windows så har Windows en lista som uppdateras ifrån Windows Update, samt man har möjlighet att själv lägga in certifikat, antingen per användare eller för hela datorn. På Linux finns någonting liknande. Java lever i en egen värld, och har dels en systemglobal lista, dels kan man definera helt egna listor för enskilda applikationer.)
3) CRL/OCSP går inte att kontakta (t.ex. ingen internetuppkoppling/brandvägg.) En vanlig lösning är att många stänger av den här funktionen pga prestandaproblem, nackdelen är dock att man tappar en del säkerhet då man tagit bort möjligheten att "döda" certifikat som har kommit på villovägar
4) Certifikatet försöker användas för ett ändamål det inte är utfärdat för (t.ex. autentisering när ska enbart ska användas för kryptering av kommunikation)
5) Certifikatet försöker användas för fel domän