了解安全证书(及其定价)

Question

我通常使用自签证书，但现在我需要一个绝对最低成本的适当证书。

由于使用makecert创建“证书颁发机构”实际上只是意味着创建一个公钥/私钥对，因此很明显，从这样一个“证书颁发机构”创建公钥/私钥对实际上仅仅意味着生成第二个公钥/私钥对，并使用属于“证书颁发机构”的私钥对进行签名。由于密钥是签名的，任何人都可以验证它们来自我创建的证书颁发机构，或者如果Verisign给我的是他们自己的私钥之一，那么任何人都可以使用verisign相应的公钥来确认verisign作为密钥的来源。

考虑到这一点，我不明白为什么Verisign只有一年计划的价格，而我真正想从他们那里得到的只是用他们的一个私钥签名的一个公钥/私钥对。

很明显我误解了什么，是什么？退伍军人是否定期退休他们的公钥/私钥对，以便我的签名密钥对“过期”，我需要新的？

编辑:我了解到证书有一个内部过期日期，它还维护一个内部值，说明它是否可以用于签署其他证书(即签署其他存储为证书的私钥/公钥对)。我不能得到几个(甚至一个)不签名的证书，这些证书是由Verisign这样的人签署的，我可以使用这些证书进行身份验证/加密，而无需每年订阅？

Answer 1

我推测他们会在他们签发的证书上设定一个到期日期，以保证他们能继续经营。

如果要尝试免费的证书颁发机构，请尝试CAcert或StartCom。但是，您的客户可能会坚持使用更“知名”的证书颁发机构，比如VeriSign。

Answer 2

证书必须有有效期，因为良好的冷冻实践的一部分是关键管理。尽管你的私钥今天是安全的，但它可能会在明天的一些数据安全漏洞中被披露--你使用密钥的时间越长，它最终被泄露的可能性就越高。

如果存在一个指定已泄漏密钥的时间不限的证书，则有人可以使用该证书与已泄漏密钥一起假装永远是您。使用过期机制，他们只能在证书过期之前完成该操作。

Answer 3

年费允许您在任何时候重新颁发和更新您的证书，一旦您完成了初始过程。您的证书在订阅时不会自动过期；例如，即使是我们的年度订阅，我们的证书也有两年的到期(并且它们所基于的根证书更像是10年)。你可以用它签署你自己的证书，只要你说它们应该是有效的，只要它们是用当时有效的证书签署的，它们仍然是有效的。根据我的经验，扩展的证书链验证很少在浏览器和其他SSL客户机中执行。

证书公司的过期部分是为了迫使你跟上SSL的安全发展(例如，从512位到2048年，或者是EC而不是RSA)，部分是为了保护你和其他人，以防你的证书在你认为它已经消失很久之后被泄露或保存并破解，还有一部分是为了经常对你进行重新审查，以防你改名、破产或其他任何事情。这是他们信任链的一部分。如果他们发现的早，他们可以立即发出一个CRL，但如果没有，你的旧证书自然会过期，没有额外的努力。

这也是一个收入流，这就是生意。

如果您想成为您自己的CA，请确保您获得了一个证书签名证书，并且要做好准备，在您使用这些证书时，将链中的所有证书捆绑在一起，这会让您感到头疼。