Varmenteen pätevyyden todentaminen tietokoneella
Kun sovellus vastaanottaa digitaalisesti allekirjoitettua tai suojattua sisältöä internetistä, esim. HTTPS-suojattuja verkkosivustoja tai allekirjoitettuja ohjelmistoja, sen täytyy todentaa, että sisällön suojaama varmenne, kuten SSL- tai koodin allekirjoitusvarmenne, on aito.
Sovellukset, kuten selaimet ja käyttöjärjestelmät, todentavat vamenteita käyttämällä kumottujen varmenteiden luetteloita (CRL) tai OCSP-protokollaa.
Todennusmenetelmät
Sovellukset tarkistavat digitaalisen varmenteen aitouden käyttämällä kahta menetelmää:
Kumottujen varmenteiden luettelot (Certification Revocation Lists – CRL) – CRL on luettelo kumotuista varmenteista. Sovellukset, jotka käyttävät kumottujen varmenteiden luetteloita varmenteiden todentamiseen, lataavat koko CRL-tiedoston ja tarkistavat siitä varmenteen tilan. Jos varmenne on kumottu ja mainittu kumottujen varmenteiden luettelossa, sovelluksen ei pitäisi luottaa siihen.
Verkossa olevien varmenteiden tilan tarkistusprotokolla (Online Certificate Status Protocol – OCSP) – OCSP-palvelu perustuu pyyntöihin. Sovellukset, jotka käyttävät OCSP-menetelmää, tarkistavat varmenteen tilan ilman tarvetta ladata CRL-tiedostoa. OCSP antaa vastaukseksi "hyvä" tai "kumottu".
Alla olevasta taulukosta näkyy, kuinka yleiset sovellukset ja käyttöjärjestelmät todentavat varmenteita. Jotkin sovellukset tai käyttöjärjestelmät saattavat kuitenkin olla määritetty suorittamaan todennuksen eri tavalla.
Ohjelmistotoimittajat päättävät todennusmenetelmän. Varmenteiden myöntäjällä ei ole kontrollia sen suhteen, kuinka vamenne todennetaan.
| Windows® 2000 | Windows XP / Windows Server 2003 | Windows Vista | Windows 7 / Windows Server 2008 | Mac® OS X | |
|---|---|---|---|---|---|
| Internet Explorer® | CRL | CRL | OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä | OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä | Ei käytettävissä |
| Firefox® | OCSP | OCSP | OCSP | OCSP | OCSP |
| Safari | Ei käytettävissä | CRL | OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä | OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä | OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä |
| Chrome | Ei käytettävissä | CRL | OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä | OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä | OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä |
| Opera® | OCSP ja CRL | OCSP ja CRL | OCSP ja CRL | OCSP ja CRL | OCSP ja CRL |
| Koodin allekirjoitusvarmenteiden todentaminen | CRL | CRL | OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä | OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä | OCSP ensin; käyttää CRL-luetteloa, jos OCSP ei ole käytettävissä |
CRL-luettelon ja OCSP-palveluiden käyttö
CRL-luettelot ja OCSP käyttävät HTTP:tä tietojen noutamiseen seuraavilta palvelimilta. Jos olet organisaatiosi verkonvalvoja, varmista, että kaikki verkkosi tietokoneet, jotka voivat kohdata myöntämämme digitaalisen varmenteen, voivat käyttää näitä CRL- ja OCSP-palveluja.
| Palvelu | DNS-isäntänimet | Kohde-IP-osoitteet | Portti |
|---|---|---|---|
| CRL | crl.godaddy.com certificates.godaddy.com crl.starfieldtech.com certificates.starfieldtech.com |
72.167.18.237 72.167.18.238 72.167.239.237 72.167.239.238 188.121.36.237 188.121.36.238 182.50.136.237 182.50.136.238 50.63.243.228 50.63.243.229 |
tcp/80 |
| OCSP | ocsp.godaddy.com ocsp.starfieldtech.com |
72.167.18.239 72.167.239.239 188.121.36.239 182.50.136.239 50.63.243.230 |
tcp/80 |
Tämä taulukko voi muuttua ajan myötä laajentaessamme palvelujamme.
