通过指纹信任CA证书

Question

Id希望创建一个信任从特定CA颁发的证书的应用程序。

我的想法是拥有一个我信任的CA证书的指纹列表。然后，每当我的应用程序收到认证证书时，它会检查其证书链，并确保在我的“可信指纹列表”中找到其颁发证书的指纹。

但是，当CA证书过期时会发生什么情况？CA是否会生成一个具有不同拇指指纹的新证书，迫使我在发生这种情况时更新受信任的指纹列表？

信任基于公钥的CA证书是否会产生影响，或者这些证书也会被轮转？

信任CA SAN怎么样？恶意方能否使用与我信任的CA之一相同的SAN创建颁发证书？

Answer 1

首先，CA证书的指纹(也称为指纹)不足以验证信任链。为了验证信任链，您需要拥有CA的公钥，该公钥包含在CA证书中，而不是在拇指指纹中。不过，您可以拥有一组CA证书，然后使用要信任和不信任的拇指打印来定义。

每当证书被更新时，证书指纹就会改变，因为指纹是基于完整的证书计算的，其中包括(已更改的)过期。在这方面，公钥指纹更稳定，因为更新可能重用以前的公钥，在这种情况下，公钥指纹不会改变。但是，尽管这至少是可能的，但还远远没有得到保证。CA可能会决定使用不同的公钥，例如，因为以前的公钥被认为太弱，并且没有足够的未来证据。