为什么浏览器会有3个级别的SSL证书？

Question

当我打开网络内部的内部应用程序(Intranet企业应用程序)的SSL详细信息时，我看到3个级别的证书？每个级别的含义是什么？

​

​

Answer 1

每个“级别”都没有明确的定义。

HTTPS世界使用PKIX模型工作:每个实体(这里特别是网站和它们的主机名)都通过一些X.509证书进行身份验证。

要实现信任，此服务器证书需要由另一个证书签名，该证书称为您信任的授权证书。

浏览器附带了数百个默认的颁发机构证书。该系统建立在您完全信任这些证书背后的实体的假设下(是的，在任何时候都没有看到所有这些列表或明确同意；您可以从您的浏览器甚至OS信任存储中删除所有这些证书，但之后您将无法再通过HTTPS连接到任何地方，您将需要逐个重新添加它们)，这意味着您接受为有效的(除了其他技术检查，如日期等)。由这些颁发机构证书签署的任何证书。

但由于多种技术和非技术原因，权威机构通常不直接签署终端证书，而是使用中间证书(如果您愿意，可以使用“中间”级别)。

它不会更改上述模型中的任何内容，因为信任是从根流出的，并且当您连接到服务器时，它将使用自己的证书以及访问任何受信任根所需的任何其他中介来响应。

请注意，深度可能有所不同。一些授权机构可能直接颁发终端证书(因此您将在输出中有两个“级别”)，一些授权机构可能使用一个中介机构(常见情况)，一些授权机构可能使用级联中介机构(通过其证书中的一些技术点可以被限制为仅在特定名称下等特定证书签名)，这完全取决于颁发给您正在查看的给定终端证书的证书授权机构。

当您处理“自签名”证书时，您不再有级别，因为证书是由它自己签名的，这意味着它是它自己的证书颁发机构，所以它在证书列表中是唯一的。