我一直在阅读 SSL 如何工作的技术基础知识(在外行/非技术文章/教程/视频的海洋中很难找到)。我有 3 个小问题,它们本身感觉太小,无法将 SO 弄乱,但总的来说,我认为提供了一些关于 SSL 工作原理的见解,并解决了似乎没有充分记录的问题:
为什么(不是何时或如何!)SSL 证书过期?这些只是在 AES 等密码/算法上运行的公钥/私钥对。我认为这里有幕后的财务/商业动机?!?
一个组织需要多少 SSL 证书?在你说“这取决于你的组织”之前,我想这个问题的核心是:是什么驱动因素让公司说,哦,我想我们需要另一个证书,或者 10 个以上的证书,等等。换句话说:为什么 1 个证书对于一个组织来说通常是不够的?
为什么公司要求 CA 提供根证书,然后从该根中获取子证书?这个“证书树”有什么好处?(而不是仅仅获得单独的证书。)?
提前致谢!
1) 为什么 SSL 证书会过期?
当证书过期时,您基本上是在说这个公钥/私钥对已被放弃。从技术上讲,您仍然可以使用此证书来加密数据,但到期日期是为了减少撤销等。但是,此外,在 X.509 规范中列出了到期的具体原因:
4.1.2.5 Validity
The certificate validity period is the time interval during which the
CA warrants that it will maintain information about the status of the
certificate.
CA 发布有关证书的吊销状态信息,这意味着他们需要跟踪它们。当证书过期时,CA 已在证书期限内完成了自己的工作,并停止跟踪该证书的信息。您实际上是在向 CA 支付费用以授权该证书有效。
过期还有其他原因。如果我仍在使用 2002 年签署的证书(这是可能的),加密级别可能达不到今天使用的标准。通过为证书设置端点,您还可以设置需要升级的日期。
现在,当然,我认为你不能否认到期背后的最大动力之一是金钱[需要引用],但它背后至少有一些技术和合理的想法。
2) 一个组织需要多少 SSL 证书/哪些驱动因素帮助他们做出决定?
它确实取决于您的组织。传统 SSL 证书与域名匹配。但是,任何东西都可以使用密钥对(开发人员证书等)进行签名。因此,对于 SSL,它取决于您要保护的域的数量。对于传统证书,www.domain.com 和 example.domain.com 是完全不同的实体。还可以购买其他类型的证书,例如通配符证书等,具体取决于您的业务需求。说真的,你可能会变得非常复杂或非常简单。以下是保护网站的一些基本和不同类型的概要:SSL 证书类型
3) [拥有]“证书树”提供什么好处,而不是仅仅获得单独的证书?
你基本上是说你信任这个 CA 来生成证书。这就是为什么浏览器必须安装根 CA 才能接受证书的原因。他们说,“我相信这个机构只为有效和受信任的来源签署了证书。”
在实践中,最终并非如此,因为许多 CA 在颁发证书之前没有严格检查他们向谁提供证书。并非总是如此,但它确实减轻了一些危险。问题是当 CA 根证书私钥被泄露时,因为任何人都可以伪造合法证书。
希望这能回答你的一些问题。