我一直在阅读 x.509 证书,只是不太了解整个过程是如何工作的。
所以这就是我的理解:CA是一些生产证书的公司。想要使用其中一个的人,例如银行网站,联系 CA 并购买包含公钥的证书以对网站的消息进行编码,该消息只能由网站的私钥解码。
这就是我感到困惑的地方 - 用户(某些网络浏览器)如何检查它收到的证书是否真的是真的并且真的来自正确的站点?它怎么知道它仍然有效?进行哪些检查以确保一切正常?
问问题
908 次
1 回答
1
CA 不仅签署服务器(银行网站)的证书,而且还拥有自己的证书,由根 CA(其证书由...签署的 CA)签署。根 CA 将其证书提供给浏览器供应商,浏览器供应商将其包含在其受信任的根证书集中。
整个事情建立在“信任链”的概念之上:签署证书意味着“如果你信任我(根或中间 CA),那么你就可以信任他(中间 CA 或服务器)”。您的浏览器只需要信任根 CA(它拥有证书)就能够确定它是否可以信任服务器(银行网站)。见https://en.wikipedia.org/wiki/Chain_of_trust
证书可能会变得无效,例如由于安全漏洞(例如私钥被盗)。此类事件已向公开提供此信息的 CA 指示。浏览器可以通过证书撤销列表 (CRL) 或在线证书状态协议 (OCSP) 访问此信息。浏览器应配置为不接受无法验证是否仍然有效的证书。请参阅https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol
于 2013-09-28T17:20:36.643 回答