0
我一直在阅读x.509证书,我只是不完全了解整个过程如何工作。X.509证书验证过程
所以这是我的理解: CA是一些公司生产证书。 某人想要使用某人(如银行网站)与CA联系并购买包含该公钥的证书以编码该网站的消息,该消息只能由网站私钥解码。
这就是我感到困惑的地方 - 用户(某些网络浏览器)如何检查它收到的证书是否真的真的来自正确的网站?它如何知道它仍然有效? 做了什么样的检查以确保一切正常?
A
回答
1
CA不仅签署了服务器(银行网站)的证书,而且还签署了自己的证书(由证书签署的CA)CA CA.根CA将其证书提供给浏览器供应商,该供应商将其包含在其可信根证书集中。
整个事情建立在一个“信任链”的想法:签署证书的意思是“如果你相信我(根或indermediate CA),比你可以相信他(中间CA或服务器)”。您的浏览器只需要信任根CA(它拥有证书)就能够确定它是否可以信任服务器(银行网站)。请参阅https://en.wikipedia.org/wiki/Chain_of_trust
证书可能会失效,例如由于安全漏洞(例如私钥被盗)。此类事件会向CA公开提供此信息。浏览器可以通过证书吊销列表(CRL)或在线证书状态协议(OCSP)访问此信息。浏览器应该配置为不接受无法验证为有效的证书。见https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol
相关问题
- 1. x 509根证书验证
- 2. 验证Linux上的X.509证书
- 3. 如何验证X.509证书格式?
- 4. 证书请求X.509
- 5. 生成X.509证书
- 6. 证书主题X.509
- 7. 找不到X.509证书:
- 8. WCF上的X.509证书?
- 9. 800 Java线程x.509证书
- 10. 使用Java ME和Bouncy Castle验证X.509证书
- 11. 如何在使用Compact Framework的C#中验证X.509证书
- 12. 验证正在发送的X.509证书
- 13. PHP和X.509身份验证 - 检查证书颁发者
- 14. 如何X.509 V1证书转换为X.509版本3
- 15. 通过Java程序使用OpenSSL颁发X.509证书
- 16. X.509证书和WTLS证书之间的区别是什么
- 17. 导入SSL证书时出错:不是X.509证书
- 18. 使用PrivateKey解密X.509证书
- 19. 的Clojure和SSL/X.509证书quetion
- 20. 客户端找不到X.509证书
- 21. 使用X.509证书的Spring Security
- 22. 创建X.509授权证书
- 23. 如何制作X.509证书?
- 24. 使用x.509证书的SSL cocoa
- 25. X.509证书转换为SecCertificateRef
- 26. AL.exe是否支持X.509证书
- 27. 建立出错的X.509证书
- 28. 查看X.509证书的工具?
- 29. Windows上的X.509证书的引用
- 30. 用Java读取X.509证书