证书链接:中级证书颁发机构

Question

维基百科说:例如，如果颁发给"example.com“并由”中间CA1“颁发的证书和访问的web浏览器信任”根CA"，则可以以下列方式建立信任：

证书1-颁发给: example.com；由:中间CA 1颁发

证书2-颁发给:中级CA 1；由:中级CA 2颁发

证书3-颁发给:中级CA 2；由:中级CA 3颁发

证书4-颁发给:中间CA 3；由: Root CA颁发

这里的信任是什么意思?我的浏览器是否可以信任一个中间证书，这样证书链接就会停止，我的浏览器就可以开始与服务器的会话了？

Answer 1

这里的信任是什么意思？

“信任”在安全性中是一个稍显含糊的术语，因为不同的软件将强制执行不同的定义/信任的强度级别。当我们开始谈论安全性的人为因素时，定义又发生了变化(即“该证书可信吗？”与“管理可信吗？”有很大不同)。

对于证书，“信任”通常意味着

我能把签名链追溯到我绝对信仰的信任锚上吗？

那么，“信任锚”是什么意思呢？当前公认的做法是证书钉扎的想法，其中信任证书的副本嵌入到操作系统级信任存储中，或者直接嵌入到应用程序的二进制文件中。

操作系统级信任存储的示例：

• Windows‘受信任的根证书颁发机构证书存储
• Mac的密钥链
• Linux/GNOME 钥匙圈

任何使用OS信任存储的应用程序都将按照签名链验证证书，直到它们到达可信根证书存储区中的证书为止(请注意，这里的" root“意思是”信任根“，很可能是中间CA)。这种类型的信任存储允许用户手动添加/删除受信任的“根证书”，因此如果愿意，可以在中间CA 1处停止该链。

另一种类型的证书钉扎是将证书直接嵌入应用程序的源代码中(通常只嵌入它们的指纹或散列)。Chrome、Firefox和其他浏览器都是这样工作的。在这些情况下，添加/删除固定证书的唯一方法是下载浏览器的安全修补程序。

实际上，在进一步的检查中，Chrome似乎采用了一种混合的方法:它们将受信任的根CA的指纹嵌入二进制文件中，如果可能的话，还会尊重操作系统的信任存储，用于不使用二进制文件(来源)的证书。

证书透明

有一种名为证书透明度(CT)的新技术还处于早期阶段，但当它全面推出时，它将影响对证书的“信任”的定义。CT的思想是让中立的第三方维护高级别公共证书的公开日志，浏览器可以检查这些日志作为他们在信任存储中拥有的证书是否真实的额外验证。CT的目的是解决撤销时间慢和伪造证书的问题。例如，当CA DigiNotar在2011年被盗其CA签名密钥时，攻击者能够为自己颁发一个新的、真实的google.com证书。CT将防止这一点，因为在公共CT日志中已经有google.com的有效证书。

因此，虽然CT旨在解决一些相当狭窄的问题，但它通常也会提高所有证书的可信度，并影响浏览器验证证书的过程。

Answer 2

使用标准浏览器，它很有可能行不通。但是，没有什么能阻止独立应用程序的这种行为(参见Thomas对SSL根证书可选？的回答)，在这种情况下，人们会谈到信任锚，即。它不是根证书(它不是自签名的)，但是它是一个可用作构建证书链的起点的可信证书。