当购买数字证书时,它会通过递归地遵循以根 CA 的证书结束的“颁发者”权威链来进行验证。
对一些销售证书的公司网站的检查显示,他们的证书实际上是由同一家公司的中间 CA 颁发的。叶证书和(可免费下载的)中间证书必须都安装在 Web 服务器上才能正常工作。
各种文档解释了当中间 CA 与根 CA 是不同公司时此设置如何工作。但在这里他们是同一家公司的。
有谁知道 CA 会从中间 CA 而不是自己的根 CA 颁发证书的一些关键原因?我认为这种情况有助于多种管理方案(例如,中间证书可以设置为在根证书之前过期),但在某种程度上我在这里猜测。
Thanks
这样做有几个原因。
- 根 CA 是信任层次结构中的顶级 CA。当前的PKI(由RFC5280标准化)不提供任何撤销根CA证书的方法。因此,根 CA 妥协(如果根 CA 充当颁发 CA,则更有可能发生这种情况)是一个非常严重的问题。
- 根据第一段,根 CA 非常敏感,它(至少应该)需要高度的安全性和非常有限的访问权限。高负载请求流不可能遵循高安全性。
- 由于根 CA 为组织提供了共同的信任锚,并且每个公司可能需要不同级别的保证和安全性,因此您将需要拥有许多根 CA,每个需要一个。
前面已经说过,跨平台(Windows、*nix、Linux、Mac)的根CA维护并不是那么简单,设置单个根CA并在单个根下设置多个中间CA是合理的。在这种情况下,每个中间 CA 将受到特定用途(例如,一个用于 SSL 证书、一个用于代码签名证书、一个用于电子邮件等)和策略的限制。
在这种情况下,如果颁发 CA(中间 CA)出现问题,CA 所有者可以撤销受损的中间 CA,而无需经历从客户端删除根 CA 的漫长而复杂的过程。
此外,中间 CA 也发生了相对变化,以反映大多数现代 PKI 趋势。使用单根 CA,可以更轻松地实现新的中间 CA,而无需经历向客户端添加根 CA 的漫长而复杂的过程。
总结一下原因:更高的安全性和更好的可管理性。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
