可信CA的-是如何工作？

Question

有谁能解释一下“知道CA”中的信任模型吗?？我的意思是：

例如，microsoft.com可以将Verisign用于其域--攻击者请求M1crosoft.com域的可能性有多大？非常简单，但仍然可以使用攻击者运行一个“安全的钓鱼网站”。

CA在给人颁发证书之前会做什么样的检查？有标准什么的吗？我需要假设而不是信任安全的网站吗？

谢谢

Answer 1

实际上，我想你是对的，如果浏览器中安装的任何CA发出m1crosoft.com证书，那么可能会有一些钓鱼攻击。

但是，由于CA是信任的来源，所以没有办法绕过这一点。幸运的是，在CA颁发证书时存在一些审计机制。我想我不知道审计机制是什么。

您可以参考here中的问题

，但是CA可以让我信任他们想要的任何服务器！

是的，这就是信任的来源。您必须信任CA不会按他们的意愿制作证书。然而，当微软( Microsoft )、苹果( Apple )和Mozilla等组织信任CA时，CA必须进行审计；另一家机构定期对它们进行检查，以确保一切仍按照规定运行。

如果并且只有当注册人能够证明他们拥有颁发证书的域时，才会颁发证书。

我不确定这是不是你想知道的。

Answer 2

为microsoft.com域颁发证书。如果攻击者在M1crosoft.com上使用此证书，则web浏览器或其他应用程序会显示警告此证书不值得信任。一些CA验证谁颁发证书。其中一些CA的根证书在您的web浏览器中。