如何验证数字证书SSL？

Question

如何验证数字证书SSL？好让你知道回复来自正确的网站？

Answer 1

RFC 5280和几个补充标准中描述了证书验证的过程。它相当复杂，并且取决于您计划使用的工具/库/组件。

简而言之，这些步骤是：

1. 查找CA证书。如果它丢失了，那么你在验证方面就不走运了。如果证书是自签名的，则用户应确定他是否可以信任证书已颁发到您要连接的站点的此certificate.
2. check (通过检查Subject字段和Subject Alternative Name extension)
3. check证书可用于SSL (检查密钥用法字段)
4. 使用CRL和OCSP响应器检查证书是否未被吊销。
5. 如果以上所有操作都正常，请以类似的方式验证CA证书。重复以上步骤，直到获得受信任的证书(它可以是受信任的根目录或以前受信任的CA)。

我们在我们的SecureBlackbox库中实现了完整而灵活的证书验证器，它可以完成上述所有工作。