发布诈骗证书的有效SSL证书
问题描述:
我相信我主要理解与SSL证书有关的验证链。不过,我不确定这种情况。 考虑此场景: 受信任的CA为服务器A签署证书。 此有效证书的所有者使用服务器私钥/公钥为恶意实体(服务器B)签署欺诈证书。发布诈骗证书的有效SSL证书
如果客户端连接到另一个实体并且恶意服务器B在中间,它是否不能发回其证书并且被客户端验证为可信? 即服务器B发送其公共证书和服务器A的证书,客户端机器验证: 受信任的CA颁发的服务器As证书(因此它的有效)和服务器As密钥用于发布服务器B(因为A是可信的,B是可信的)。
我猜措辞以另一种方式,那每个中间证书颁发机构必须在受信任的证书存储区(好像答案是肯定的)
答
一个正常的SSL证书不能使用其他证书签名。您需要签名证书。一个可信的CA只会为它也信任的一个实体签署一个签名证书,并且还有一个完整的检查级别。
这很有道理,如果一个可信的CA给我颁发了一个CA,这个颁发给我的CA是否需要在客户端的可信CA中? – UserWPFWindows
@UserWPFWindows:首先,除非您真的能证明您知道您在做什么,您可以保留必要的基础架构非常安全并且您付出大量的金钱,否则没有公共信任的CA会颁发CA证书。而且,该中间CA不需要位于客户端CA商店中,因为它由可信CA签署 - 但它必须由服务器作为链式证书发送。 –