自签名证书链与自签名单证书

Question

如果我有一个自签名的证书链而不是使用一个单独的自签名证书，我会有一个更安全的/加密的连接吗？

[Root CA -> Intermediate 1 -> Intermediate 2 -> my.api.com]

vs

[Root CA -> my.api.com]

或者这对加密没有影响？

Answer 1

为了连接的安全性，您是否拥有中间证书以及有多少证书并不重要。加密的强度取决于密钥交换和加密中使用的密码，密钥交换和加密大多独立于证书，完全独立于任何链证书。证书主要用于身份验证，以防止中间攻击中的人为攻击，这里与此相关的是攻击者不能伪造所涉及的任何证书，即无法访问任何私钥，也不能欺骗证书颁发机构(或对其进行黑客攻击)，从而为特定域颁发可信证书。

Answer 2

不，它不影响加密。

自签名证书链可以帮助使连接更加安全，但这只是因为它使您的组织中的证书处理更容易，因此更有可能在不让浏览器要求用户干预的情况下正确工作，而不是因为加密的强度增加。

证书用于确保您从服务器收到的公钥确实属于服务器，而不是位于您和服务器中间的Malory。

如果只使用单个自签名证书，则浏览器将抱怨无法建立证书的身份验证。当Malory用自己的证书替换您的证书时，您将得到完全相同的警告消息，因此，如果您使用的是自签名证书，则无法很容易地区分正常操作和mitm攻击。

您可以将您的私有证书添加到浏览器或os证书存储区，以使浏览器接受它，但是，如果在只有10或20台机器支持的情况下这样做，则管理证书更新、替换等是一件很痛苦的事情。

因此，一个需要更少工作的解决方案是添加一个私有根证书，您将需要更少地访问它。证书处理变得更容易，这意味着可以用更少的精力完成它，这意味着它更有可能被正确地完成，或者根本不可能，这意味着用户不太可能看到不受信任的证书的浏览器警告--他们只需单击“走开”。因此，在迂回的情况下，我想说，在这样一个上下文中，使用一系列自签名证书具有安全优势，在这种情况下，您可以合理地维护一些需要访问您的资源的机器。

当然，如果有人可以访问您的私有证书颁发机构，您只是给了他们潜在的访问您的用户所建立的每个ssl加密连接的权限，因此也存在严重的缺点。

但是，通常情况下，除非您对默认证书授权存在信任问题，否则没有理由对证书进行自我签名。让加密为您提供免费证书，在每个浏览器中工作，开箱即用。

Answer 3

不，它不是“更安全”，它对加密本身没有任何影响。

中间证书只表示中级证书签署者1信任您的my.api.com证书。在允许连接继续之前，客户端应该信任整个证书链。