-1
我相信我主要理解與SSL證書有關的驗證鏈。不過,我不確定這種情況。 考慮此場景: 受信任的CA爲服務器A簽署證書。 此有效證書的所有者使用服務器私鑰/公鑰爲惡意實體(服務器B)簽署欺詐證書。發佈詐騙證書的有效SSL證書
如果客戶端連接到另一個實體並且惡意服務器B在中間,它是否不能發回其證書並且被客戶端驗證爲可信? 即服務器B發送其公共證書和服務器A的證書,客戶端機器驗證: 受信任的CA頒發的服務器As證書(因此它的有效)和服務器As密鑰用於發佈服務器B(因爲A是可信的,B是可信的)。
我猜措辭以另一種方式,那每個中間證書頒發機構必須在受信任的證書存儲區(好像答案是肯定的)
這很有道理,如果一個可信的CA給我頒發了一個CA,這個頒發給我的CA是否需要在客戶端的可信CA中? – UserWPFWindows
@UserWPFWindows:首先,除非您真的能證明您知道您在做什麼,您可以保留必要的基礎架構非常安全並且您付出大量的金錢,否則沒有公共信任的CA會頒發CA證書。而且,該中間CA不需要位於客戶端CA商店中,因爲它由可信CA簽署 - 但它必須由服務器作爲鏈式證書發送。 –