„Deepseek“, kaip ir kiti klientai, patikrina bendrą pavadinimą (CN) SSL sertifikate kaip SSL/TLS rankos paspaudimo proceso dalį. Čia yra išsamus paaiškinimas, kaip paprastai įvyksta šis patikrinimas:
1. Sertifikato kvitas: Kai klientas (pvz., „Deepseek“) inicijuoja ryšį su serveriu, serveris reaguoja siųsdamas savo SSL/TLS sertifikatą. Šiame sertifikate yra įvairių sričių, įskaitant bendrą pavadinimą (CN) ir alternatyvų pavadinimą (SAN).
2. Sertifikato patvirtinimas: Klientas patikrina sertifikatą, kad įsitikintų, jog jis galioja ir nepasibaigė. Tai patikrina sertifikato skaitmeninį parašą, naudojant ją išleistą sertifikatų tarnybos (CA) viešąjį raktą. Klientas taip pat patikrina, ar sertifikatas buvo atšauktas konsultuojant sertifikato atšaukimo sąrašą (CRL), arba naudojant internetinio sertifikato būsenos protokolo (OCSP) atsakiklį [4].
3. Bendras pavadinimo patikrinimas: klientas patikrina, ar sertifikate domeno vardas atitinka prieinamos svetainės domeno pavadinimą. Tai labai svarbu užtikrinti, kad pažymėjimas būtų išduotas teisingam domenui. Jei domenų pavadinimai nesutampa, klientas paprastai rodys įspėjamąjį pranešimą vartotojui [1] [4].
4. SAN patikrinimas: Nors bendro pavadinimo laukas dažnai laikomas palikimu, šiuolaikiniai patikrinimo procesai labiau priklauso nuo SAN lauko. SAN leidžia nurodyti kelis domenų pavadinimus, įskaitant pakaitos domenus. Klientas patikrina ir CN, ir SAN laukus, kad įsitikintų, jog serverio domeno pavadinimas yra išvardytas [1] [3].
5. Patikėjimo parduotuvės patikrinimas: Klientas patikrina, ar CA, išduodanti sertifikatą, pasitiki tikrinant, ar jis įtrauktas į jo patikos parduotuvę. Jei CA nepasitiki, pažymėjimas laikomas nepatikimu [4].
6. Šifravimo derybos: jei praeina visi patikrinimo veiksmai, klientas tęsia derybas dėl šifravimo algoritmo su serveriu ir užmezga saugų ryšį, naudodamas tokius protokolus kaip transporto sluoksnio saugumas (TLS) [4].
Atsižvelgiant į „Deepseeek“ ar panašias programas, šie veiksmai užtikrina, kad ryšys su serveriu yra saugus ir kad serveris yra tas, kuris, jo teigimu, yra, užkirsti kelią potencialiems žmogaus vidurio atakoms. Tačiau konkreti diegimo informacija gali skirtis priklausomai nuo to, kaip „Deepseek“ sukonfigūruota tvarkyti SSL/TLS jungtis.
Citatos:
[1] https://support.dnsimple.com/articles/what-is-common-name/
[2] https://www.certauri.com/underija-ssl-certificate-common-name-secure-your-isite/
[3] https://opensearch.org/docs/latest/troubleShoot/tls/
[4] https://apidog.com/blog/ssl-certificate-verification/
[5] https://www.ssl.com/faqs/common-name/
[6] https://opensearch.org/docs/latest/security/configuration/tls/
[7] https://www.digitalocean.com/community/questions/how-to-get-the-ssl-certificate-details-for-a- specific-domain-via-the-command-line
[8] https://stackoverflow.com/questions/35374491/how-does-the-lient-verify-servers-certificate-in-ssl