发出虚假证书的有效 SSL 证书

【问题标题】:Valid SSL certificate issuing fradulent certificates发出虚假证书的有效 SSL 证书
【发布时间】:2017-07-19 12:11:22
【问题描述】:

我相信我主要了解与 SSL 证书相关的验证链。但是,有一种情况我不确定。 考虑这种情况: 受信任的 CA 为服务器 A 签署证书。 此有效证书的所有者使用服务器 A 的私钥/公钥为恶意实体(服务器 B)签署欺诈证书。

如果一个客户端连接到另一个实体,恶意服务器 B 在中间,它不能发回它的证书并被客户端验证为真实吗? 即服务器 B 发送其公共证书和服务器 A 的证书,客户端机器验证: 受信任的 CA 颁发服务器 As 证书(因此其有效)和服务器 As 密钥用于颁发服务器 B(因为 A 是受信任的,所以 B 是受信任的)。

我想换一种说法,是否每个中间证书颁发机构都需要在受信任的证书存储中(似乎答案是肯定的)

【问题讨论】:

    标签: security ssl https


    【解决方案1】:

    普通 SSL 证书不能用于签署其他证书。您需要一个签名证书。受信任的 CA 只会为它也信任的实体签署签名证书,并且有一个完整的“另一个级别的检查”。

    【讨论】:

    • 这是有道理的,如果受信任的 CA 向我颁发了一个 CA,那么颁发给我的这个 CA 是否需要在客户端的受信任的 CA 中?
    • @UserWPFWindows:首先,除非你能真正证明你知道你在做什么,你可以保证必要的基础设施非常安全并且你付出了很多,否则没有公共受信任的 CA 会向你颁发 CA 证书和很多钱。而且,这个中间 CA 不需要在客户端 CA 存储中,因为它是由受信任的 CA 签名的——它必须由服务器作为链证书发送。
    猜你喜欢
    • 1970-01-01
    • 2016-12-30
    • 2019-08-04
    • 2017-07-20
    • 2014-06-13
    • 2021-07-13
    • 1970-01-01
    • 2020-07-17
    • 2018-03-15
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode