如果我的设备是从服务器维护人员那里更新的，SSL/TLS CA证书将如何更新？

Question

如果从网站维护人员那里更新，SSL/TLS CA证书将如何在客户端设备中自动更新。

实际上Rooot证书有效期为1或2年后，该服务器维护人员应到证书颁发机构续签以获得进一步的有效性，因此在这种情况下，客户端设备如何更新新更新的证书？

我可以从网站上得到一些答案，比如如果证书过期了，我们会收到一些警告信息，数据通信也是纯文本，这样就容易受到中间人的攻击。

谢谢!

Answer 1

在您的问题中有许多不清楚的方面--例如，这个需要(或不需要)固件升级的“设备”是什么?所以我将大致回答。

1. 是的，最简单的描述方式就是固件升级。如果预期某个设备需要对照已知的根证书集进行检查，也可以通过升级此集来实现。这取决于操作系统以及如何实现它；例如，在非嵌入式Linux发行版中，它是以名为“ca-证书”或类似的包形式出现的。该包提供PEM格式的证书目录，或连接证书的单个文件，或两者兼而有之。该包是独立于其他组件升级的，除了数据表单上可能存在的关系.

。

1. --在某些情况下，证书(作为其主题、公钥和属性的组合)以两个版本提供:自签名(用于新更新的用户，并由以前的证书签名)用于旧证书数据库的用户。根据客户端软件的不同，它可能会发出过期警告，如果旧根已经过期，或者可能没有过期。

1. 某些根证书具有较长的生存期(20-30年)，但仅用于签署存在数年的二级证书；而后者则用于最终用户证书(作为web服务器)。在这种情况下，你根本不需要做出反应。