1
我正在設置不同主機上的服務之間的雙向SSL通信。假設我有自己的CA.我的所有服務都通過集中的jks來信任我。現在讓我們說我有由A簽名的證書B.當服務發送證書時,他們應該發送整個鏈B - A還是B?我相信這兩種方法都適用於大多數實現。受信任的根CA應該是證書鏈的一部分嗎?
我試圖找到關於這個在線的規範信息,但我什麼都沒有提出。
感謝您的幫助
A
回答
3
服務器應該發送將要被使用的確切鏈;明確允許服務器 省略根CA,但僅此而已。
參考(RFC 5246 - TLS v1.2, sec. 7.4.2. - Server Certificate):
certificate_list
這是證書的序列(鏈)。發件人的 證書必須在列表中排在第一位。每個以下證書 必須直接證明前面的證書。由於證書 驗證要求根密鑰是獨立分發的,因此可以從鏈中省略指定根證書 權限的自簽名證書,前提條件是遠程端必須已經擁有它才能驗證它 任何情況。
2
可信根CA背後的想法是它是可信的。您是否期望瀏覽器僅僅因爲它包含根CA而信任服務器發送的任何內容?沒有!
因此,根CA必須已經在客戶端並且必須在那裏被信任。它不應該被服務器包含在證書鏈中,但是如果你這樣做了,反正瀏覽器會忽略它。
相關問題
- 1. GeoTrust是Android => 2.3中的受信任根證書之一嗎?
- 2. Jmeter根ca證書
- 3. ADFS錯誤:證書鏈的根不是受信任的根證書頒發機構
- 4. Jmeter中的根CA證書
- 5. 證書鏈的根證書是自簽名的,不可信的
- 6. RGoogleTrends:SSL證書的問題,驗證該CA證書是OK
- 7. SSL證書和cURL:證書包或不受信任的證書?
- 8. 通SSL層受信任的證書
- 9. 受信任的證書無效
- 10. 在PhantomJS中安裝受信任的根證書
- 11. ClickOnce受信任的根證書頒發機構
- 12. 將證書添加到受信任的根機構
- 13. 如何獲得Java中受信任根證書的列表?
- 14. 自簽名證書和根CA證書是否相同?
- 15. 信任庫是否需要sub-ca證書?
- 16. 獲取連接的根CA證書
- 17. 將公鑰從受信任的根CA導入PKCS12密鑰庫
- 18. 自動安裝:使用證書自簽名ClickOnce清單>需要應用程序在客戶端PC上的受信任根證書安裝根CA
- 19. 中等信任和部分信任是一樣的嗎?
- 20. C#如何驗證根CA證書(x509)鏈?
- 21. 信任庫是否也需要CA的證書進行身份驗證?
- 22. android:如何接受CA證書
- 23. 雖然已添加到信任庫,但無法接受CA證書
- 24. 爲我的API提供CA鏈:我應該包含鏈中的所有證書嗎?
- 25. Openssl的驗證與鏈接的CA和鏈接證書
- 26. 下載DoD證書頒發機構(CA)證書的鏈接
- 27. QSslError:證書是自簽名的,而且不受信任
- 28. Selenium2配置文件接受不受信任的證書
- 29. 受信任的證書條目不受密碼保護Spring SAML
- 30. 如何將根CA證書導入JxBrowser
什麼軟件用於驗證證書?驗證實體除證書之外還有哪些信息? (a [mcve],也許) –
問題更多地是關於特定軟件的標準。驗證實體提供證書並知道它信任CA. – mck
如果是關於什麼標準說,然後相關:http://security.stackexchange.com/questions/81972/what-part-of-tls-specifies-how-to-verify-a-certificate-chain –