我一直在閱讀關於SSL如何工作的技術基礎知識(在外面的非技術文章/教程/視頻的海洋內部很難找到)。我有3個個小題,在自己的,覺得太小,與但作爲一個整體,我認爲提供一些洞察到SSL作品和地址的問題似乎是如何不被很好地記錄,以便混亂:SSL證書細節
爲什麼(不是時或如何!)SSL證書過期了嗎?這些只是公用/私人密鑰對在AES等密碼/算法上運行。我認爲這裏幕後有一個財務/業務獎勵?!?
多少SSL證書,並組織需要什麼?你之前說「那要看你的組織」,我想這個問題的核心是:因素使公司說什麼駕駛,哦,我想我們會需要另一個證書,或10以上證書,等等。換句話說:爲什麼是1級證書往往沒有足夠的組織?
爲什麼一個公司問CA的根證書,然後讓孩子證書關閉該根?這個「證書樹」提供了什麼好處? (而不是僅僅獲得單獨的證書。)?
提前感謝!
1)爲什麼SSL證書過期?
當證書過期時,基本上是說這個公鑰/私鑰對已被放棄。從技術上講,您仍然可以使用此證書來加密數據,但過期日期可以減輕其他事件的撤銷次數。然而,另外,在X.509規範有概括爲過期具體原因:
4.1.2.5 Validity
The certificate validity period is the time interval during which the
CA warrants that it will maintain information about the status of the
certificate.
的CA發佈關於證書撤銷狀態的信息,這意味着他們需要跟蹤它們。當證書到期時,CA已經爲證書的期限完成了部分工作,並停止了該證書的跟蹤信息。您實質上是在向CA支付費用,以授權說這個證書是有效的。
還有其他原因到期了。如果我仍然在使用2002年簽署的證書(這是可能的),那麼加密的級別可能不符合當今使用的標準。通過設置證書的端點,您還可以設置需要升級的日期。
當然,我認爲你不能否認到期後最大的動機之一就是金錢[引文需要],但至少有一些技術和合理的想法背後。
2)組織需要多少SSL證書/哪些驅動因素幫助他們決定?
這取決於您的組織。傳統的SSL證書與域名匹配。但是,任何東西都可以用密鑰對(開發人員證書等)簽名。所以,對於SSL,它將取決於您想保護的域的數量。對於傳統的證書,www.domain.com和example.domain.com是完全不同的實體。還有其他類型的證書可以購買,如通配證書等,這取決於您的業務需求。說真的,你可以變得非常複雜或者非常簡單。下面是保護網站上的一些基本的和不同類型的破敗:哪些優勢[有]「證書樹」提供,而不是剛剛獨立的證書SSL Certificate Types
3)?
你基本上是說你相信這個CA來生成證書。這就是爲什麼瀏覽器必須安裝根CA才能接受證書。他們說,「我相信這個機構只會爲有效和可信的來源簽署證書。」
實際上,結果並非如此,因爲很多CA沒有嚴格檢查他們在頒發證書前是否給予證書。並不總是,但它確實減輕了一些危險。問題在於何時CA根證書私鑰遭到破壞,因爲任何人都可以僞造合法證書。
希望這可以回答你的一些問題。
哇 - 很好的回答@lewisguez ! (+1)快速跟進:在#3(根證書)上,這個「證書樹」(根和它的所有孩子)必須來自同一個CA嗎?如果是這種情況,那麼我認爲這對我有意義。從這個意義上說,CA將您視爲一種帳戶,並在您的第一次請求中爲您提供根證書。然後,當你從他們購買後續證書時,他們只是重複使用兒童證書上的密鑰/加密內容到該根目錄,因爲你是同一個帳戶。這是一個公平的評估,還是我在這裏?再次感謝! – IAmYourFaja
不完全。證書過期時,您說的是此證書與此身份和此私鑰之間的關聯已過期。沒有暗示私鑰已經過期。您可以使用同一個私鑰生成一個新的CSR,簽名並* viola!*一個新證書。 – EJP
@EJP這是一個很好的觀點,重讀我的迴應確實如此。當我輸入它時,聽起來不同了!我會編輯它,以便在我不打電話時立即反映您所說的內容。 – lewiguez
您可能也有興趣[this](http://security.stackexchange.com/q/6737/2435)和[this](http://security.stackexchange.com/a/13690/2435) 。 (關於Security.SE上的[ssl標籤](http://security.stackexchange.com/questions/tagged/ssl)上有很多問題,事實上可能是相關的。) – Bruno