什么可以防止伪造 ssl 证书链

【问题标题】：What prevents a fake ssl certificate chain什么可以防止伪造 ssl 证书链
【发布时间】：2014-08-01 15:37:37
【问题描述】：

如果我为 mycompany.com 购买了证书，并且我获得了由威瑞信签名的有效证书，那么是什么阻止了我为 othercompany.com 生成由 mycompany 签名的假证书？

中间人攻击阻止我为 othercompany.com 签发由 mycompany 签名的假证书，并将我的有效证书作为中间 CA 证书。

【问题讨论】：

这个问题似乎是题外话，因为它是关于安全的。
证书必须特别标记为“签名者证书” - 通常威瑞信不会向您颁发签名者证书。
security.stackexchange.com/questions/20513/… 和 security.stackexchange.com/questions/33649/… 的副本

标签： ssl

【解决方案1】：

颁发者可以附加到证书的“基本约束”之一是该证书是否被允许签署其他证书。如果不使证书失效，就无法修改这些约束。由于 CA 将始终向您颁发标记为“最终实体”的证书，因此您将无法使用它来颁发其他证书。

虽然您仍然可以创建由“最终实体”颁发的证书，但任何正确验证证书链的软件都会将此类证书标记为无效并拒绝它。

【讨论】：