DeepSeek, jak je uvedeno v kontextu aplikací AI a zranitelností zabezpečení, výslovně nepopisuje své kroky pro ověření digitálního podpisu certifikátu SSL. Na základě obecných postupů pro ověření certifikátů SSL jsou však zde typické kroky, které by byly zapojeny do ověření digitálního podpisu certifikátu SSL:
1. Získejte veřejný klíč: Klient (např. Webový prohlížeč nebo aplikace) získá veřejný klíč certifikačního úřadu (CA), který vydal certifikát SSL. Tento veřejný klíč je obvykle uložen v důvěryhodném úložišti certifikátů v klientovi.
2. dešifrujte digitální podpis: Klient používá veřejný klíč CA k dešifrování digitálního podpisu připojeného k certifikátu SSL. Tento digitální podpis je hash obsahu certifikátu, šifrovaný pomocí soukromého klíče CA.
3. generujte nový hash: Klient generuje nový hash obsahu certifikátu SSL (konkrétně „podepsat“ část certifikátu) pomocí stejného algoritmu používaného CA.
4. Porovnejte hashes: Klient porovnává dešifrovaný hash z digitálního podpisu s nově generovaným hash. Pokud se obě hashe shodují, naznačuje to, že certifikát nebyl manipulován a byl skutečně podepsán CA.
5. Zkontrolujte platnost certifikátu: Klient ověří, že certifikát SSL je platný a nevypršel. Zkontroluje také, zda byl certifikát zrušen konzultací se seznamem osvědčení certifikátů (CRL) nebo pomocí online statusu certifikátu (OCSP).
6. Ověřte řetězec certifikátů: Klient zajišťuje, že certifikát SSL je součástí platného řetězce certifikátů, což znamená, že je vydán důvěryhodnou CA a všechny střední osvědčení jsou platné a důvěryhodné.
7. Ověření názvu domény: Klient kontroluje, zda název domény v certifikátu SSL odpovídá názvu domény přístupného webu. Tím je zajištěno, že certifikát se používá pro správnou doménu.
8. Ověření Store Store Store: Klient ověřuje, že CA vydávající certifikát je zahrnuto do jejího svěřeneckého obchodu. Pokud není CA důvěryhodné, je certifikát považován za neplatný.
Pokud by Deepseek měl tyto kroky implementovat, výrazně by to zvýšilo jeho zabezpečení tím, že se zajistí, že se spojí s legitimními servery a chrání před vyvlastnění útoky. Jak je však uvedeno ve výsledcích vyhledávání, Deepseek čelil problémům souvisejícím s nedostatkem správné validace SSL, což je náchylné k těmto hrozbám [6].
Citace:
[1] https://apidog.com/blog/ssl-certificate-verification/
[2] https://sslinsights.com/what-are-digital-signatures-in-ssl-tls/
[3] https://help.deepsecurity.trendmicro.com/11_0/on-premise/digital-signature-check.html
[4] https://www.appdome.com/dev-sec-blog/SSL-Certificate-alidation-and-inning/
[5] https://commandlinefanatic.com/cgi-bin/showarticle.cgi?article=art012
[6] https://www.applinknox.com/blog/is-your-ap-app-safe-analyzing-deepseek
[7] https://brainsteam.co.uk/2025/2/12/ai-code-assistant-curl-ssl/
[8] https://www.keenformatics.com/manually-verifikační-an-sl-certificate/