中间证书,该怎么解释?

2016-02-06 10:51:40 +08:00
 ivmm

All operating systems contain a set of default trusted root certificates. But Certificate Authorities usually don't use their root certificate to sign customer certificates. They use so called intermediate certificates instead, because these can be rotated more frequently.

作用和意义是什么?我发现搜不到准确的结果

2564 次点击
所在节点    问与答
11 条回复
helloyang
2016-02-06 11:00:54 +08:00
这应该是证书一级一级地信任原则吧,最上面是根证书,但基本不直接使用根证书签名文件。而是一级一级的信任,根证书发布中间证书,中间证书可以再发,然后用中间证书签署
例如:
Certificate 1 - Issued To: example.com; Issued By: Intermediate CA 1
Certificate 2 - Issued To: Intermediate CA 1; Issued By: Intermediate CA 2
Certificate 3 - Issued To: Intermediate CA 2; Issued By: Intermediate CA 3
Certificate 4 - Issued To: Intermediate CA 3; Issued By: Root CA

详见 https://en.wikipedia.org/wiki/Intermediate_certificate_authorities
mrjoel
2016-02-06 11:03:40 +08:00
根证书的服务器资源有限 访问起来也慢 就授权了可信中间机构代为颁发证书 比如 CA ,作用类似 DNS 递归服务器吧
wql
2016-02-06 11:06:33 +08:00
证书有信任链原则。一些根 CA 资源有限,于是交叉签名了其他 CA 来帮他签名,就是所谓的中级证书。
songjiaxin2008
2016-02-06 11:07:25 +08:00
代理商也要签发 做生意的 总不能把根给他 是吧
kiritoalex
2016-02-06 11:08:00 +08:00
可以去看 Moxie Marlinspike 在 2009 BlackHat DC 对 sslstrip 做的 presentation

简单地来说,(也许不大准确)就是 Intermediate Certificate Authority
1.不是内置在浏览器中的
2.仍然具有权威性
3.可以验证站点证书是有权威性的
mrjoel
2016-02-06 11:08:01 +08:00
打错。。 CA 是根证书那边 CNNIC 是中国的
kiritoalex
2016-02-06 11:11:15 +08:00
@kiritoalex 再多解释一下,
Certificate Authority Certificate (即根证书)有如下的特点:
1.内置在浏览器内
2.有权威性
3.验证 Intermediate Certificate Authority 是否具有权威性
Strikeactor
2016-02-06 12:18:38 +08:00
之前 CNNIC 乱搞被谷歌和火狐的浏览器拒绝信任过
要全用根签,这一拒不是所有的证书都跪了。。

根一般不签证书,只授权下级签发机构的,类似于 A 信任 B , B 信任 C 。你跟浏览器说“我是 C ”不行,必需补上一句“我是 B 推荐的”。
gamexg
2016-02-06 12:43:28 +08:00
为安全原因,不会使用根证书签,而是签一个二级证书,再用二级证书签。

安全原因好象是通过特制的 hash 有可能解密出密钥。
gamexg
2016-02-06 12:46:17 +08:00
好吧,用二级证书的原因是根证书密钥可以完全离线保存,安全性更好。
shiji
2016-02-13 12:48:32 +08:00
CA 是基本上不能三天两头变动的,中间证书可以快速根据安全的更新(比如 SHA1 升级到 SHA256 )升级,算法的不同( RSA/DSA ),还有证书类型的差异( Domain Validated/ Organization Validated/ Extended Validated ), CA 是内置在操作系统里面的 /或者是浏览器, 而中间证书是靠安全协议传输过来的,客户端能验证有效性就行了,不需要频繁更新。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/255624

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX