Η Deepseek, όπως και άλλοι πελάτες, επαληθεύει το κοινό όνομα (CN) σε πιστοποιητικό SSL ως μέρος της διαδικασίας χειραψίας SSL/TLS. Ακολουθεί μια λεπτομερής εξήγηση για το πώς συμβαίνει συνήθως αυτή η επαλήθευση:
1. Πιστοποιητικό απόδειξη: Όταν ένας πελάτης (όπως το DeepSeek) ξεκινά μια σύνδεση με έναν διακομιστή, ο διακομιστής απαντά στέλνοντας το πιστοποιητικό SSL/TLS. Αυτό το πιστοποιητικό περιέχει διάφορα πεδία, συμπεριλαμβανομένου του κοινού ονόματος (CN) και του θέματος εναλλακτικού ονόματος (SAN).
2. Επικύρωση πιστοποιητικού: Ο πελάτης ελέγχει το πιστοποιητικό για να διασφαλίσει ότι είναι έγκυρη και δεν έχει λήξει. Επαληθεύει την ψηφιακή υπογραφή του πιστοποιητικού χρησιμοποιώντας το δημόσιο κλειδί της Αρχής Πιστοποιητικών (CA) που την εξέδωσε. Ο πελάτης ελέγχει επίσης εάν το πιστοποιητικό έχει ανακληθεί από τη διαβούλευση μιας λίστας ανάκλησης πιστοποιητικών (CRL) ή χρησιμοποιώντας το online πρωτόκολλο κατάστασης πιστοποιητικού (OCSP) ανταποκριτή [4].
3. Κοινή επαλήθευση ονόματος: Ο πελάτης ελέγχει εάν το όνομα τομέα στο πιστοποιητικό ταιριάζει με το όνομα τομέα του ιστότοπου που έχει πρόσβαση. Αυτό είναι ζωτικής σημασίας για να διασφαλιστεί ότι το πιστοποιητικό εκδίδεται για τον σωστό τομέα. Εάν τα ονόματα τομέα δεν ταιριάζουν, ο πελάτης θα εμφανίζει συνήθως ένα προειδοποιητικό μήνυμα στον χρήστη [1] [4].
4. Επαλήθευση SAN: Αν και το πεδίο κοινής ονομασίας θεωρείται συχνά κληρονομιά, οι σύγχρονες διαδικασίες επαλήθευσης βασίζονται περισσότερο στο SAN Field. Το SAN επιτρέπει την καθορισμό πολλαπλών ονομάτων τομέα, συμπεριλαμβανομένων των τομέων μπαλαντέρ. Ο πελάτης ελέγχει τόσο το CN όσο και το San Fields για να διασφαλίσει ότι το όνομα του τομέα του διακομιστή παρατίθεται [1] [3].
5. Επαλήθευση καταστήματος εμπιστοσύνης: Ο πελάτης επαληθεύει ότι η CA που εκδίδει το πιστοποιητικό είναι αξιόπιστο με έλεγχο εάν περιλαμβάνεται στο κατάστημα εμπιστοσύνης του. Εάν η CA δεν είναι αξιόπιστη, το πιστοποιητικό θεωρείται μη αξιόπιστο [4].
6. Διαπραγμάτευση κρυπτογράφησης: Εάν περάσουν όλα τα βήματα επαλήθευσης, ο πελάτης προχωράει στη διαπραγμάτευση ενός αλγορίθμου κρυπτογράφησης με το διακομιστή και δημιουργεί μια ασφαλή σύνδεση χρησιμοποιώντας πρωτόκολλα όπως η ασφάλεια των μεταφορών (TLS) [4].
Στο πλαίσιο των Deepseek ή παρόμοιων εφαρμογών, αυτά τα βήματα εξασφαλίζουν ότι η σύνδεση με τον διακομιστή είναι ασφαλής και ότι ο διακομιστής είναι ποιος ισχυρίζεται ότι είναι, εμποδίζοντας τις πιθανές επιθέσεις Man-in-the-Middle. Ωστόσο, συγκεκριμένες λεπτομέρειες εφαρμογής ενδέχεται να διαφέρουν ανάλογα με τον τρόπο με τον οποίο η DeepSeeek έχει ρυθμιστεί ώστε να χειρίζεται τις συνδέσεις SSL/TLS.
Αναφορές:
[1] https://support.dnsimple.com/articles/what-is-common-name/
[2] https://www.certauri.com/understanding-ssl-certificate-common-name-secure-your-site/
[3] https://opensearch.org/docs/latest/troubleshoot/tls/
[4] https://apidog.com/blog/ssl-certificate-erification/
[5] https://www.ssl.com/faqs/common-name/
[6] https://opensearch.org/docs/latest/security/configuration/tls/
[7] https://www.digitalocean.com/community/questions/how-to-get-the-ssl-certificate-details-for-a-specific-domain-via-the-command-line
[8] https://stackoverflow.com/questions/35374491/how-does-the-client-verify-servers-certificate-in-ssl