我相信我主要了解与SSL证书相关的验证链 . 然而,有一种情况我不确定 . 请考虑以下情形:受信任的CA为服务器A签署证书 . 此有效证书的所有者使用服务器A私钥/公钥为恶意实体(服务器B)签署欺诈性证书 .
如果客户端连接到另一个实体并且恶意服务器B位于中间,则无法将其证书发回并由客户端验证为可信吗?即,服务器B发送其公共证书和服务器A的证书,客户端计算机验证:可信CA颁发的服务器作为证书(因此其有效)和服务器As密钥用于发布服务器B(因为A是受信任的,B是受信任的) .
我想用另一种方式表达,每个中间证书颁发机构是否都需要在受信任的证书存储区中(似乎答案是肯定的)
1 回答
普通SSL证书不能用于签署其他证书 . 您需要签名证书 . 受信任的CA只会签署一个它也信任的实体的签名证书,而且还有一个完整的检查级别 .