【发布时间】:2013-06-04 07:51:18
【问题描述】:
假设我有 Alice 的证书,它的证书链是由 N 个证书构成的。验证(并信任)链的根(例如 VeriSign)是否足够,还是我必须信任(并验证)每个证书?
根据我的理解,我需要信任和时间验证链证书的根,并且仅时间验证链中的所有其他证书。我说的对吗?
【问题讨论】:
标签: cryptography certificate public-key-encryption pki
【发布时间】:2013-06-04 07:51:18
【问题描述】:
您必须对链中的每个证书执行验证,等等 - 您需要使用 CRL 和 OCSP 服务器(当证书中提供相应的信息时),并且在签署 CRL 和 OCSP 响应时,您需要构建那里的证书链并验证所有这些。
【讨论】:
-
感谢您的回答! :-) 但是为什么时间验证和检查所有证书的 CRL 并完全验证根还不够???
-
@TCS 实际上根是受信任的(您无法验证它,因为除了显式信任之外您没有锚——根是自签名的)。其他证书可以被吊销,因此您需要检查它们的有效性/吊销状态。当然,您还需要检查每个证书的签名完整性。现在,为特定目的(使用)颁发证书,并且必须检查 KeyUsage/ExtKeyUsage 字段以确保代码签名证书不用于 SSL,反之亦然(例如)。