mel*_*low 7 ssl pki ssl-certificate certificate-authority apache-2.4
如果我的 Web 服务器(最新的 Apache)具有有效(未过期或撤销)的 Verisign 证书链(根 -> 中间 -> 叶/我的服务器),那么服务器是否将整个(?)链发送给客户端?Web 客户端(例如,最新的 Chrome)是否需要在线查找每个相同的证书,尤其是在客户端已经信任根 CA 的情况下?
如果客户无法联系威瑞信会怎样?(例如,在没有 WiFi 的笔记本电脑上设置 LAMP)。
gar*_*Red 11
如果您阅读RFC 5246 第 7.4.2 章,您会发现:
certificate_list
这是一个证书序列(链)。发件人的证书必须排在列表的首位。后面的每个证书必须直接证明它前面的证书。因为证书验证需要独立分发根密钥,指定根证书颁发机构的自签名证书可以从链中省略,假设远程端必须已经拥有它以便在任何情况下验证它。
很好地解释了它。服务器是否真的这样做取决于系统管理员配置它的方式。由于许多客户端可以使用 AIA 扩展中提供的 URL 获取他们的 CA 证书,许多配置不当的服务器在没有执行上述操作的情况下“逃脱”。
许多客户端还缓存他们接收/下载的证书,以减少每次链式构建时获取的负担。Windows 上的 Chrome 使用微软的 CAPI 来管理它的证书(与 IE 相同),它缓存证书。Linux/OSX 上的 Chrome 使用 Mozilla 的 NSS 来管理它的证书,它也缓存证书。因此,如果您在线使用您的网站,那么所有高级 CA 证书都将缓存在您的系统上,并且“离线”将起作用(无论如何都可以使用一段时间)。
但是,一些 CA 使用 OCSP 进行吊销检查。如果您处于离线状态,则 OCSP 客户端无法联系 OCSP 响应程序以获取吊销信息。在这种情况下会发生什么取决于您的客户端软件的配置。默认情况下,大多数浏览器“软失败”——也就是说,他们忽略了无法联系到 OCSP 响应者的事实,并假设一切正常。有些可以配置为“硬失败”,如果无法联系到 OCSP 响应者,它们将无法通过撤销检查。
| 归档时间: |
|
| 查看次数: |
6319 次 |
| 最近记录: |