Início / server / Perguntas / 979502
Accepted
David Balažic
Asked: 2019-08-17 01:59:25 +0800 CST

Explicação SSLVerifyDepth

  • 772

Existe uma explicação abrangente de como exatamente a verificação da cadeia de certificados funciona no Apache httpd e como exatamente o parâmetro SSLVerifyDepth o afeta? Possivelmente como pseudo-código.

A maioria das referências apenas menciona isso casualmente.

apache-2.2

2 respostas

  1. https://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslverifydepth

    ... A profundidade na verdade é o número máximo de emissores de certificados intermediários, ou seja, o número máximo de certificados CA que podem ser seguidos durante a verificação do certificado do cliente.
    Uma profundidade de 0 significa que os certificados de cliente auto-assinados são aceitos apenas,
    a profundidade padrão de 1 significa que o certificado de cliente pode ser auto-assinado ou deve ser assinado por uma CA que é diretamente conhecida pelo servidor (ou seja, o certificado da CA é em SSLCACertificatePath), etc.

    Uma profundidade de 2 significa que os certificados assinados por uma CA intermediária (nível único) são aceitos, ou seja, por uma CA intermediária, cujo certificado de CA é assinado por uma CA diretamente conhecida pelo servidor.

    • 3
  2. Best Answer

    De acordo com meus testes (veja este comentário ) e esta resposta , a verificação da cadeia de certificados no apache funciona assim:

    current_certificate := client_certificate_from_request
current_depth := 0
LOOP
  if current_certificate IS self-signed (ie. root)
    if current_certificate IS IN SSLCACertificateFile
      THEN RETURN true // cert is accepted as valid
      ELSE RETURN false // validation failed
    end if
  end if

  current_certificate := current_certificate.getIssuer()
  current_depth += 1
  if current_depth > SSLVerifyDepth
    THEN RETURN false // validation failed
END LOOP // repeat

    Em palavras:

    O certificado raiz final deve estar no SSLCACertificateFile (ou, alternativamente, no SSLCACertificatePath), caso contrário, o certificado do cliente não será aceito como válido. O parâmetro SSLVerifyDepth limita o quão longe a cadeia será apache. Se o limite for atingido, o certificado será rejeitado.

    Os certificados intermediários listados no SSLCACertificateFile afetam apenas a construção da cadeia (por exemplo, quando o cliente não envia a cadeia completa, portanto, sem os listados no SSLCACertificateFile apache httpd não teria como alcançar o certificado raiz), mas a validade depende apenas na presença do certificado raiz em SSLCACertificateFile.

    • 3

relate perguntas