0

如果 SSL/TLS CA 证书从网站维护者处更新,它将如何在客户端设备中自动更新。

实际上Root CA证书有效期为1或2年,之后服务器维护人员应该去证书颁发机构更新以获得进一步的有效性,那么在这种情况下客户端设备如何更新新的更新证书?

我可以从网站上得到一些答案,比如如果证书过期,我们会收到一些警告消息和数据通信也是纯文本,这样它就容易受到中间人攻击。

谢谢!

4

1 回答 1

0

您的问题中有很多不清楚的方面 - 例如,这个需要(或不需要)固件升级的“设备”是什么 - 所以我会一般回答。

  1. 是的,最简单的描述方式就是固件升级。如果预计设备需要检查众所周知的根证书集,这也将通过升级该集来实现。它取决于操作系统和分布它是如何实现的;例如,在非嵌入式 Linux 发行版中,它以名为“ca-certificates”或类似名称的包的形式出现。该软件包提供了 PEM 形式的证书目录,或连接证书的单个文件,或两者兼而有之。包的升级独立于其他组件,除了数据表单上的可能关系。

  2. 在某些情况下,证书(作为其主题、公钥和属性的组合)以两个版本提供:自签名 - 用于新更新的用户,由以前的证书签名 - 用于具有旧证书数据库的用户. 根据客户端软件,它可能会发出过期警告,如果旧根已过期,也可能不会。

  3. 一些根证书的寿命很长(20-30 年),但仅用于签署寿命为几年的二级证书;后者又用于最终用户证书(作为 Web 服务器)。在这种情况下,您根本不需要做出反应。

于 2021-06-19T07:38:31.967 回答