CA签名SSL证书的安全性优势
[英]Benefits in security to a CA signed SSL certificate
问题描述
这只是关于自签名证书和CA证书之间争论的一般性问题......
由于在大多数浏览器中生成的避免警告,我了解CA证书的好处,但CA证书如何使实际安全性受益? 我经常听到最大的威胁是中间人攻击,虽然我使用自签名证书了解这个威胁,但我不明白CA证书如何阻止这种威胁。 我知道CA执行自己的安全算法不能在自签名证书上使用相同的算法吗?
我想我只是对围绕CA证书需求的大企业感到有点恼火,但除了他们执行的这些假设的额外安全检查之外,似乎无法找到任何不同的东西。 从安全角度来看,CA可以提供自签名证书不能提供的任何内容吗?
2 个解决方案
解决方案1
5 已采纳 2012-02-20 06:23:35
欺骗。 如果对方伪造自签名证书,则无法对此进行检查。 为了检查您是否已收到有效证书而非伪造证书,您需要进行第三方检查,这些检查不容易被欺骗。 这是通过携带客户端软件的根CA证书(和一些中间证书)列表(Windows为您和主要浏览器执行相同的证书)和使用这些CA证书验证您从服务器收到的证书来完成的。 。 使用自签名证书时,无法进行此类验证。
当然,您可以在客户端应用程序中携带自签名证书(这是一些开发人员所做的,特别是对于内部应用程序),但这不适用于浏览器。
解决方案2
4 2012-02-19 21:46:56
差异不在算法中,而在于人们是否信任证书颁发机构。
证书的要点是验证您是否与要与之建立连接的任何人建立连接。
如果我对你说“我是正确的服务器,请相信我”,你可以选择不相信我(毕竟,你不认识我)。
如果我对你说“我是正确的服务器,并且我有证明证明它”,你可以说“好的,谁给了你这个证书?” 如果我的回复是“来自拐角处的乔”,你仍然可以选择不相信我。
但如果我说“我有证书,你可以与你信任的第三方确认”,你可以认为这是一个很好的身份证明。
您如何确认它是标准的全部内容(例如,如RFC 5280中所述 )。 但那只是技术性问题。 您可以对源自VeriSign的证书和您自己生成的证书使用完全相同的算法。
真正的问题是关于信任:你相信谁给你“身份证明”。 我们相信VeriSign足以允许每个浏览器接受来自它们的任何身份证明。 我们是否应该信任能够自行签署证书的个人? 在某些情况下我们可能会这样做(在这种情况下,您可以手动在浏览器中安装他们的证书),但不是一般规则。
用另一个自签名的x509Certificate签名X509Certificate [充当CA]
[英]Signing a X509Certificate with another Self Signed x509Certificate [acting as CA]
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.