如何检测数字证书中的公钥是否已被修改？

Question

我知道数字证书的基本过程，但如何检测数字证书中的公钥是否被修改？

Answer 1

证书下面的数字签名--由颁发证书的证书颁发机构(CA)生成--将不会验证公钥是否被更改。只有当对手破坏了可信的CA，或者更确切地说，您的CA取决于您对证书的检查程度，才能“更改”公钥，而不需要验证证书。

更详细地说，CA拥有一个私钥，并在所有操作系统和浏览器中安装了相应的公钥。CA使用私钥对证书进行签名，然后browser / OS使用受信任的公钥检查签名。如果签名正确，则证书中的公钥无法更改。

有可能使用更多的中间证书，其中可以使用父证书来验证子证书。这称为信任链，从叶证书开始，以信任存储区中的证书结束。