V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wqyyy
V2EX  ›  SSL

关于中间证书

  •  1
     
  •   wqyyy · 2018-05-08 11:12:13 +08:00 · 3426 次点击
    这是一个创建于 2383 天前的主题,其中的信息可能已经有所发展或是发生改变。

    根据 https://imququ.com/post/optimize-tls-handshake.html,建议将中间证书和站点证书一起发送,但是我发现 Firefox 以及 win 7 已经将 Let's Encrypt Authority X3 列为受信任的中级证书颁发机构( Firefox 貌似连 ISRG Root X1 都早就信任了),那么请问在这种情况下还有发送中间证书的必要吗? btw,请问浏览器是否会将已经用到过的中间证书缓存起来?

    12 条回复    2018-05-16 23:25:28 +08:00
    wqyyy
        1
    wqyyy  
    OP
       2018-05-08 11:24:08 +08:00
    另外只申请 *.example.com 是否会导致 example.com 无法使用?
    moult
        2
    moult  
       2018-05-08 11:28:44 +08:00 via iPhone
    但是服务器在 TLS 握手的时候,不知道浏览器的任何信息,更别提内置证书情况了,所以必须中间证书也找一起发送到浏览器。
    另外 TLS 通信有会话保持的,会加快通信效率。
    moult
        3
    moult  
       2018-05-08 11:30:46 +08:00 via iPhone
    @wqyyy 你在申请*.domain.tld 的时候,一般都会以 SAN 的形式同时颁发 domain.tld 的,一个证书多个域名的。
    Leafove
        4
    Leafove  
       2018-05-08 11:33:46 +08:00
    @wqyyy #1 当然会,根域和二级泛域是不同的东西
    kera0a
        5
    kera0a  
       2018-05-08 11:39:43 +08:00
    @Leafove 我申请了 *.domain.tld 和 domain.tld , 都可以使用呀。另外 github pages 也帮我申请了 domain.tld ,3 个证书都能使用
    ruimz
        6
    ruimz  
       2018-05-08 12:13:30 +08:00 via iPhone   ❤️ 1
    @wqyyy #1 会
    你可以试试在申请 Let's Encrypt 只写*.domain.tld ,看最后申请到的证书包含不包含 domain.tld
    战网曾经的 CNNIC 证书 https://crt.sh/?id=2077397 就是只包含*.example.com 不包含 example.com 的。曾亲测会报错
    wqyyy
        7
    wqyyy  
    OP
       2018-05-08 15:24:39 +08:00
    @ruimz
    @Leafove THX!
    wqyyy
        8
    wqyyy  
    OP
       2018-05-08 15:26:53 +08:00
    @moult 但是证书链包含中间证书的意义不是避免浏览器找不到中间证书 /浏览器下载中间证书浪费时间吗?如果中间证书像根证书一样已经被大多数平台 /浏览器包含,是不是就没有发送中间证书的必要了?
    Rezark
        9
    Rezark  
       2018-05-14 09:21:35 +08:00
    @wqyyy 中间证书是有限制秘钥用法的,所以预置某一个中级根不能满足所有证书的需求!
    LanFomalhaut
        10
    LanFomalhaut  
       2018-05-14 13:28:53 +08:00
    →_→ 实际场景 没中级证书的 移动端各种问题
    geekzu
        11
    geekzu  
       2018-05-15 09:37:11 +08:00 via Android
    Windows 貌似是访问过的网站发送过中级证书就会保存下来,之后遇到未配置中级证书的网站也不会报错,而 Android 似乎不会,所以报证书链不完整错误的基本都是 Android 设备
    dfly0603
        12
    dfly0603  
       2018-05-16 23:25:28 +08:00 via Android
    @geekzu 对的,Android 尤为明显
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4181 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 04:08 · PVG 12:08 · LAX 20:08 · JFK 23:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.