Deepseek, jak wspomniano w kontekście aplikacji AI i luk w zabezpieczeniach, nie szczegółowo opisuje swoich kroków w sprawie weryfikacji cyfrowej podpisu certyfikatu SSL. Jednak na podstawie ogólnych praktyk weryfikacji certyfikacji SSL, oto typowe kroki, które byłyby zaangażowane w weryfikację podpisu cyfrowego certyfikatu SSL:
1. Uzyskaj klucz publiczny: Klient (np. Przeglądarka internetowa lub aplikacja) uzyskuje klucz publiczny Urzędu Świadectwa (CA), który wydał certyfikat SSL. Ten klucz publiczny jest zazwyczaj przechowywany w zaufanym sklepie certyfikatów w ramach klienta.
2. Odszyfrowaj podpis cyfrowy: Klient używa klucza publicznego CA do odszyfrowania podpisu cyfrowego dołączonego do certyfikatu SSL. Ten podpis cyfrowy jest skrótem treści certyfikatu, szyfrowanego za pomocą prywatnego klucza CA.
3. Wygeneruj nowy skrót: Klient generuje nowy skrót treści certyfikatu SSL (w szczególności część „do podpisania” certyfikatu) przy użyciu tego samego algorytmu używanego przez CA.
4. Porównaj skróty: Klient porównuje odszyfrowany skrót z podpisu cyfrowego z nowo wygenerowanym skrótem. Jeśli dwa skróty pasują, oznacza to, że certyfikat nie został zrób zciwieniony i rzeczywiście został podpisany przez CA.
5. Sprawdź ważność certyfikatu: Klient sprawdza, czy certyfikat SSL jest ważny i nie wygasł. Sprawdza również, czy certyfikat został odwołany, konsultując się z listą odwołania certyfikatów (CRL) lub korzystając z internetowego protokołu statusu certyfikatu (OCSP).
6. Sprawdź łańcuch certyfikatów: Klient zapewnia, że certyfikat SSL jest częścią ważnego łańcucha certyfikatu, co oznacza, że jest wydawany przez zaufane CA, a wszystkie certyfikaty pośrednie są ważne i zaufane.
7. Weryfikacja nazwy domeny: Klient sprawdza, czy nazwa domeny w certyfikatie SSL pasuje do nazwy domeny dostępnej witryny. Zapewnia to, że certyfikat jest używany dla właściwej domeny.
8. Weryfikacja sklepu zaufania: Klient weryfikuje, że CA wydanie certyfikatu jest zawarte w jego sklepie zaufania. Jeśli CA nie jest zaufany, certyfikat jest uważany za nieprawidłowy.
Gdyby Deepseek wdrożył te kroki, znacznie zwiększyłoby to bezpieczeństwo, zapewniając, że łączy się z prawowitymi serwerami i chroni przed atakami podszywania się. Jednak, jak zauważono w wynikach wyszukiwania, Deepseek stał przed problemami związanymi z brakiem właściwej walidacji SSL, co sprawia, że jest podatna na takie zagrożenia [6].
Cytaty:
[1] https://apidog.com/blog/ssl-certificate-verification/
[2] https://sslinsights.com/what-are-digital-signatures-in-ssl-tls/
[3] https://help.deepsecurity.trendmicro.com/11_0/on-premise/digital-signature-check.html
[4] https://www.appdome.com/dev-sec-blog/ssl-certificate-validation-andpinning/
[5] https://commandlinefanatic.com/cgi-bin/showarticle.cgi?article=art012
[6] https://www.appkknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[7] https://brainsteam.co.uk/2025/2/12/ai-code-assistant-curl-ssl/
[8] https://www.keenformatics.com/manalally-verifying-an-ssl-coertificate/