DeepSeekは、他のクライアントと同様に、SSL/TLSハンドシェイクプロセスの一部としてSSL証明書の共通名(CN)を検証します。この検証が通常どのように発生するかについての詳細な説明を次に示します。
1。証明書領収書:クライアント(DeepSeekなど)がサーバーへの接続を開始すると、サーバーはSSL/TLS証明書を送信することで応答します。この証明書には、共通名(CN)や主題の代替名(SAN)を含むさまざまなフィールドが含まれています。
2。証明書の検証:クライアントは、証明書をチェックして、有効で期限切れになっていないことを確認します。これは、それを発行した認証局(CA)の公開鍵を使用して、証明書のデジタル署名を検証します。また、クライアントは、証明書の取り消しリスト(CRL)に相談するか、オンライン証明書ステータスプロトコル(OCSP)レスポンダー[4]を使用して証明書が取り消されたかどうかを確認します。
3.共通名の確認:クライアントは、証明書のドメイン名がアクセスしているウェブサイトのドメイン名と一致するかどうかを確認します。これは、正しいドメインに対して証明書が発行されることを確認するために重要です。ドメイン名が一致しない場合、クライアントは通常、ユーザーに警告メッセージを表示します[1] [4]。
4。SAN検証:一般名のフィールドはしばしばレガシーと見なされますが、現代の検証プロセスはSANフィールドにもっと依存しています。 SANは、ワイルドカードドメインを含む複数のドメイン名を指定できます。クライアントは、CNフィールドとSANフィールドの両方をチェックして、サーバーのドメイン名がリストされていることを確認します[1] [3]。
5。信託ストアの確認:クライアントは、証明書を発行するCAが信託ストアに含まれているかどうかを確認することにより信頼されることを確認します。 CAが信頼されていない場合、証明書は信頼されていないと見なされます[4]。
6.暗号化交渉:すべての検証手順が通過すると、クライアントはサーバーと暗号化アルゴリズムを交渉し、トランスポートレイヤーセキュリティ(TLS)などのプロトコルを使用して安全な接続を確立します[4]。
DeepSeekまたは同様のアプリケーションのコンテキストでは、これらの手順では、サーバーへの接続が安全であり、サーバーが誰であるかを主張していることを保証し、潜在的な中間の攻撃を防ぎます。ただし、特定の実装の詳細は、SSL/TLS接続を処理するようにDeepSeekの構成方法によって異なる場合があります。
引用:
[1] https://support.dnsimple.com/articles/what-is-common-name/
[2] https://www.certauri.com/understanding-ssl-certificate-common-name-secure-your-site/
[3] https://opensearch.org/docs/latest/troubleshoot/tls/
[4] https://apidog.com/blog/ssl-certificate-verification/
[5] https://www.ssl.com/faqs/common-name/
[6] https://opensearch.org/docs/latest/security/configuration/tls/
[7] https://www.digitalocean.com/community/questions/how-to-get-the-ssl-certificate-details-for-a-specific-domain-via-the-command-line
[8] https://stackoverflow.com/questions/353744491/how-does-the-client-verify-servers-certificate-in-ssl