0

因此,當最初客戶希望將他的公鑰註冊到CA時,他將需要CA的公鑰,以便將他自己的公鑰發送到CA進行註冊。客戶如何獲得鑰匙?證書頒發機構最初如何驗證公鑰?

最終當客戶端設法發送他的公共密鑰進行註冊時,中間人能不能把他自己當作客戶端,並且發送他自己的公鑰而不是客戶端?

我對CA的工作原理有一個基本概念,但不明白公鑰的初始註冊如何在沒有任何嗅探或欺騙的情況下發生。

+0

我不確定「註冊公鑰」是什麼意思。所以我想你可能會談論[CSR流程](https://en.wikipedia.org/wiki/Certificate_signing_request)。 –

+0

@OliverCharlesworth我不熟悉這些術語,但是從我從維基百科頁面收集的內容中,這正是我的意思。在此過程中,中間人攻擊不會發生嗎? –

回答

1

認證(或證書)簽名請求由請求者的私鑰簽署。這可以防止MITM篡改,但不能防止MITM篡改+替換公鑰+重新簽名。

緩解因素是通常通過TLS傳輸請求,爲有效負載提供篡改傳遞(併爲發送方提供驗證CA是預期CA的方法)。

TLS服務器認證證書最終會鏈接到內置於OS /瀏覽器/其他客戶端信任列表中的證書。

相關問題