【问题标题】:SSL Certificate SubtletiesSSL 证书细节
【发布时间】:2012-06-21 17:09:47
【问题描述】:

我一直在阅读 SSL 工作原理的技术基础知识(在外行/非技术文章/教程/视频的海洋中很难找到)。我有 3 个小问题,它们本身感觉太小了,无法将 SO 搞得一团糟,但总的来说,我认为可以深入了解 SSL 的工作原理并解决似乎没有充分记录的问题:

  1. 为什么(不是何时如何!)SSL 证书会过期吗?这些只是在 AES 等密码/算法上运行的公钥/私钥对。我认为这里有幕后的财务/商业动机?!?

  2. 一个组织需要多少个 SSL 证书?在你说“这取决于你的组织”之前,我想这个问题的核心是:什么驱动因素让公司说,哦,我想我们将需要 另一个 证书,或者 10 个以上的证书,等等。换句话说:为什么 1 个证书对于一个组织来说通常是不够的??

  3. 为什么公司要求 CA 提供根证书,然后从该根中获取子证书?这个“证书树”有什么好处? (而不是仅仅获得单独的证书。)?

提前致谢!

【问题讨论】:

  • 您可能还对thisthis 感兴趣。 (事实上​​,Security.SE 上的ssl tag 上存在许多可能相关的问题。)

标签: ssl


【解决方案1】:

1) 为什么 SSL 证书会过期?

当证书过期时,您基本上是在说这个公钥/私钥对已被放弃。从技术上讲,您仍然可以使用此证书来加密数据,但到期日期是为了减少撤销等。但是,此外,在 X.509 规范中列出了到期的具体原因:

4.1.2.5 Validity

The certificate validity period is the time interval during which the
CA warrants that it will maintain information about the status of the
certificate.

CA 发布有关证书的吊销状态信息,这意味着他们需要跟踪这些信息。当证书过期时,CA 已在证书期限内完成了自己的工作,并停止跟踪该证书的信息。您实际上是在向 CA 支付费用,以证明该证书有效。

还有其他过期的原因。如果我仍在使用 2002 年签署的证书(这是可能的),加密级别可能达不到今天使用的标准。通过为证书设置端点,您还可以设置需要升级的日期。

当然,我认为你不能否认到期背后的最大动力之一是金钱 [需要引用],但它背后至少有一些技术和合理的想法。

2) 一个组织需要多少 SSL 证书/哪些驱动因素帮助他们做出决定?

这取决于您的组织。传统 SSL 证书与域名匹配。但是,任何东西都可以使用密钥对(开发人员证书等)进行签名。因此,对于 SSL,它取决于您要保护的域的数量。对于传统证书,www.domain.com 和 example.domain.com 是完全不同的实体。还可以购买其他类型的证书,例如通配符证书等,具体取决于您的业务需求。说真的,你可能会变得非常复杂或非常简单。以下是保护网站的一些基本和不同类型的概要:SSL Certificate Types

3) [拥有]“证书树”提供什么好处,而不是仅仅获得单独的证书?

您基本上是在说您信任此 CA 来生成证书。这就是为什么浏览器必须安装根 CA 才能接受证书的原因。他们说,“我相信这个机构只为有效和受信任的来源签署了证书。”

实际上,情况并非如此,因为许多 CA 在颁发证书之前没有严格检查他们将证书授予谁。并非总是如此,但它确实减轻了一些危险。问题是当 CA 根证书私钥被泄露时,因为任何人都可以伪造合法证书。

希望这能回答你的一些问题。

【讨论】:

  • 哇——很好的答案@lewisguez! (+1)快速跟进:在#3(根证书)上,这个“证书树”(根及其所有子节点)是否必须来自同一个 CA?如果是这样的话,那么我想这对我来说是有意义的。从这个意义上说,CA 将您视为一个帐户,并在您的第一个请求时为您提供根证书。然后,当您从他们那里购买后续证书时,他们只是将子证书上的密钥/加密内容重用到该根,因为您是同一个帐户。这是一个公平的评估还是我在这里偏离了基地?再次感谢!
  • 不完全。当证书过期时,您是说此证书与此身份和此私钥之间的关联已过期。没有暗示私钥已过期。您可以使用相同的私钥生成新的 CSR,对其进行签名,然后 viola! 获得新证书。
  • @EJP 这是一个很好的观点,重读我的回复确实说明了这一点。当我输入它时,它在我的脑海中听起来不同!只要我不在手机上打字,我就会对其进行编辑以反映您所说的内容。
猜你喜欢
  • 2011-12-13
  • 1970-01-01
  • 2013-07-18
  • 1970-01-01
  • 2018-08-23
  • 1970-01-01
  • 1970-01-01
  • 2017-06-13
相关资源
最近更新 更多