SSLチェーンはどのように機能しますか？

中間認証局が必要なのはなぜですか？中間証明書はいつ使用されますか？中間証明書からルート証明書へのチェーンを確認するにはどうすればよいですか？ルート証明書にリンクする中間証明書の例は何ですか？

中間認証局が必要なのはなぜですか？中間証明書はいつ使用されますか？

ルートCAの秘密キーを保護するために、非常に安全な場所に保存され、少数の中間証明書に署名するためにのみ使用され、その後、エンドエンティティ証明書を発行するために使用されます。妥協した場合、新しいCAを信頼するためにすべてのマシンを再構成する必要なく、中間体をすぐに取り消すことができます。

別の考えられる理由は委任です。たとえば、多くの場合、自社のネットワークに多くの証明書を使用するGoogleなどの企業は、独自の中間CAを持っています。

中間証明書からルート証明書へのチェーンを確認するにはどうすればよいですか？

通常、エンドエンティティ（たとえば、SSL / TLS Webサーバー）は、証明書チェーン全体を提供し、署名を確認するだけです。

そのチェーンの最後はルート証明書であり、すでに信頼済みとしてマークされています。

たとえば、チェーン[ユーザー]→[intermed-1]→[intermed-2]→[root]がある場合、検証は次のようになります。

1. DOES [ユーザー]持っ[intermed-1]の"発行者"として？

2. DOES [ユーザー]で有効な署名を持っている[intermed-1]のキー？

3. DOES [intermed-1]を持つ[intermed-2]をその"発行者"として？

4. DOES [intermed-1]により、有効な署名を持っている[intermed-2]のキー？

5. DOES [intermed-2]を持つ[ルート]その"発行者"としての？

6. DOES [intermed-2]をして、有効な署名を持っている[ルート]のキー？

7. ので、[ルート]連鎖の一番下にあり、「発行者」としての地位を持っている、信頼できるとして、それがマークされていますか？

プロセスは常にまったく同じです。中間CAの存在と数は重要ではありません。ユーザー証明書はルートによって直接署名でき、同じ方法で検証されます。

ルート証明書にリンクする中間証明書の例は何ですか？

3つまたは4つの証明書を含むチェーンについては、https：//twitter.com/またはhttps://www.facebook.com/の証明書情報を参照してください。Google独自の証明機関の例については、https：//www.google.com/も参照してください。