我一直在阅读有关SSL如何工作的技术基础知识(这在外行/非技术文章/教程/视频的海洋中很难找到).我有3个小问题,它们本身感觉太小而不能混淆SO,但总的来说,我认为可以提供一些有关SSL如何工作以及解决似乎没有详细记录的问题的见解:
为什么(不是何时或如何!)SSL证书到期?这些只是在AES等密码/算法上运行的公钥/私钥对.我假设这里幕后有财务/商业激励措施?!?
组织需要多少个SSL证书?在你说"这取决于你的组织"之前,我想这个问题的核心是:公司说什么驱动因素,哦,我想我们将需要另一个证书,或者另外10个证书,等等.换句话说:为什么1个证书通常不足以组织?
为什么公司要求CA提供根证书,然后从该根证书中获取子证书?这种"证书树"提供了哪些好处?(而不是仅仅获得单独的证书.)?
提前致谢!
1)为什么SSL证书到期?
证书到期时,您基本上是说该公共/私人密钥对已被放弃.从技术上讲,您仍然可以使用此证书来加密数据,但到期日期可以减轻其他事项的撤销.此外,在X.509规范中,列出了到期的具体原因:
4.1.2.5 Validity
The certificate validity period is the time interval during which the
CA warrants that it will maintain information about the status of the
certificate.
CA发布有关证书的撤销状态信息,这意味着他们需要跟踪它们.证书到期后,CA已完成证书期限,并停止跟踪该证书的信息.您实际上是在向CA支付权利,说明该证书是有效的.
到期还有其他原因.如果我仍在使用2002年签署的证书(这是可能的),加密级别可能不符合当前使用的标准.通过设置证书的端点,您还可以设置需要升级的日期.
当然,现在,我认为你不能否认到期后最大的激励因素之一就是金钱[引证需要],但至少有一些技术和合理的想法.
2)组织需要多少SSL证书/哪些驱动因素可以帮助他们决定?
它取决于您的组织.传统的SSL证书与域名匹配.但是,任何东西都可以使用密钥对(开发人员证书等)进行签名.因此,对于SSL,它将取决于您要保护的域的数量.对于传统证书,www.domain.com和example.domain.com是完全不同的实体.还可以购买其他类型的证书,例如通配符证书等,这些证书将取决于您的业务需求.说真的,你可以变得非常复杂或非常简单.以下是保护网站的一些基本和不同类型的概述:SSL证书类型
3)[有一个]"证书树"提供了哪些好处,而不仅仅是获得单独的证书?
您基本上是说您信任此CA来生成证书.这就是浏览器必须安装根CA才能接受证书的原因.他们说,"我相信这个权威机构只签署了有效和可靠来源的证书."
在实践中,最终并非如此,因为许多CA在发布之前没有严格检查他们是谁给出了证书.并非总是如此,但它确实减轻了一些危险.问题是CA根证书私钥被泄露,因为任何人都可以伪造合法证书.
希望这能回答你的一些问题.
| 归档时间: |
|
| 查看次数: |
278 次 |
| 最近记录: |