Ohje

SSL-varmenteet Ohje

Varmenteen pätevyyden todentaminen tietokoneella

Kun sovellus vastaanottaa digitaalisesti allekirjoitettua tai suojattua sisältöä internetistä, esim. HTTPS-suojattuja verkkosivustoja tai allekirjoitettuja ohjelmistoja, sen täytyy todentaa, että sisällön suojaama varmenne, kuten SSL- tai koodin allekirjoitusvarmenne, on aito.

Sovellukset, kuten selaimet ja käyttöjärjestelmät, todentavat vamenteita käyttämällä kumottujen varmenteiden luetteloita (CRL) tai OCSP-protokollaa.

Todennusmenetelmät

Sovellukset tarkistavat digitaalisen varmenteen aitouden käyttämällä kahta menetelmää:

Kumottujen varmenteiden luettelot (Certification Revocation Lists – CRL) – CRL on luettelo kumotuista varmenteista. Sovellukset, jotka käyttävät kumottujen varmenteiden luetteloita varmenteiden todentamiseen, lataavat koko CRL-tiedoston ja tarkistavat siitä varmenteen tilan. Jos varmenne on kumottu ja mainittu kumottujen varmenteiden luettelossa, sovelluksen ei pitäisi luottaa siihen.

Verkossa olevien varmenteiden tilan tarkistusprotokolla (Online Certificate Status Protocol – OCSP) – OCSP-palvelu perustuu pyyntöihin. Sovellukset, jotka käyttävät OCSP-menetelmää, tarkistavat varmenteen tilan ilman tarvetta ladata CRL-tiedostoa. OCSP antaa vastaukseksi "hyvä" tai "kumottu".

Alla olevasta taulukosta näkyy, kuinka yleiset sovellukset ja käyttöjärjestelmät todentavat varmenteita. Jotkin sovellukset tai käyttöjärjestelmät saattavat kuitenkin olla määritetty suorittamaan todennuksen eri tavalla.

Ohjelmistotoimittajat päättävät todennusmenetelmän. Varmenteiden myöntäjällä ei ole kontrollia sen suhteen, kuinka vamenne todennetaan.

Windows® 2000 Windows XP / Windows Server 2003 Windows Vista Windows 7 / Windows Server 2008 Mac® OS X
Internet Explorer® CRL CRL OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä Ei käytettävissä
Firefox® OCSP OCSP OCSP OCSP OCSP
Safari Ei käytettävissä CRL OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä
Chrome Ei käytettävissä CRL OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä
Opera® OCSP ja CRL OCSP ja CRL OCSP ja CRL OCSP ja CRL OCSP ja CRL
Koodin allekirjoitusvarmenteiden todentaminen CRL CRL OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä

CRL-luettelon ja OCSP-palveluiden käyttö

CRL-luettelot ja OCSP käyttävät HTTP:tä tietojen noutamiseen seuraavilta palvelimilta. Jos olet organisaatiosi verkonvalvoja, varmista, että kaikki verkkosi tietokoneet, jotka voivat kohdata myöntämämme digitaalisen varmenteen, voivat käyttää näitä CRL- ja OCSP-palveluja.

Palvelu DNS-isäntänimet Kohde-IP-osoitteet Portti
CRL crl.godaddy.com
certificates.godaddy.com
crl.starfieldtech.com
certificates.starfieldtech.com
72.167.18.237
72.167.18.238
72.167.239.237
72.167.239.238
188.121.36.237
188.121.36.238
182.50.136.237
182.50.136.238
50.63.243.228
50.63.243.229
tcp/80
OCSP ocsp.godaddy.com
ocsp.starfieldtech.com
72.167.18.239
72.167.239.239
188.121.36.239
182.50.136.239
50.63.243.230
tcp/80

Tämä taulukko voi muuttua ajan myötä laajentaessamme palvelujamme.


Oliko tästä artikkelista hyötyä?
Kiitoksia palautteestasi. Jos haluat puhua asiakaspalveluedustajan kanssa, käytä yllä näkyvää puhelinnumeroa tai chat-vaihtoehtoa.
Kiva, että meistä oli apua. Voimmeko tehdä jotain muuta?
Olen pahoillani asiasta. Kerro meille, mikä on epäselvää tai miksi ratkaisu ei toiminut oman ongelmasi kohdalla.