我如何信任证书颁发机构？

Question

认证机构应该验证一个网站是他们所说的真正的人，对吧。但是认证机构在那里签了自己的证书。所以那些证书是自签的。有什么方法可以让我知道他们在自己的网站上使用的自签名证书是否是可靠的和可信任的？

Answer 1

您必须信任颁发证书的CA。否则，我们就会遇到一个典型的鸡蛋问题，即没有信任和确定性的具体界限。

信任CA颁发机构后，可以通过在命令行上写入以下内容来检查您所拥有的证书是否实际由有关CA颁发：

$ openssl verify -verbose -CAfile cacert.pem  server.crt

预期产出：server.crt: OK

如果您收到任何其他消息，证书不是由该CA颁发的。

访问https://kb.wisc.edu/middleware/page.php?id=4543获取更多信息

Answer 2

不，你只要相信他们！最常见的方法是跟随羊群..。例如，从浏览器(http://curl.haxx.se/docs/caextract.html)中提取它们。我们总是假设浏览器在为我们验证.以及操作系统..。

Answer 3

有什么方法可以找出他们在网站上使用的自签名证书是否是可靠的和可信任的？

您可以自己研究证书颁发机构。

有些人可能不信任证书颁发机构，包括谷歌。谷歌在2016年5月发布了一份他们不信任的权威机构名单：

trust/

你要么要相信工具(网络浏览器等)附带的预先安装的证书被这些工具的生产者所信任，要么你可以做一些研究，看看你自己是否真的信任它们。这基本上就像问你如何信任任何人或任何事情一样。我能相信你吗？

我相信安装在浏览器中的CA，因为如果我不能信任它们，那么我们都有一个问题，这个问题比我更大。我想问这样的问题是很好的，我想知道除了谷歌之外，是否还有其他人在质疑证书颁发机构。