SSL证书信任秘密
Gworg2020-08-25 10:36
如果你正在了解SSL证书基本知识或者申请SSL证书前面几分钟,那这篇文章更好的帮助你。我将以最简单的方式来让你快速了解SSL证书,更好地掌握SSL证书的秘密。
SSL证书链
SSL证书结构由:CA根证书——中间证书——网站(服务器)证书,组成SSL证书信任链。
证书链CA根证书是指真正的颁发机构,也就是信任原,如果该证书不在浏览器或者操作系统信任范围,那么将该证书就不作为信任证书。
中间证书,是由CA机构颁发信任的,区分为两种:
一种是完全是CA官方自己的中间证书,除非CA机构倒闭,那么你一直会存在。
官方中间证书另一种是给第三方提供的中间证书服务,所以中间证书会有另一个公司的名称。
这是CA机构提供的一项服务,可以买几年中间证书(通常一年)这样中间证书可以自己颁发证书,也有一次性充值多少钱然后循环使用,并且拥有自己独立品牌。这类证书风险就是,如果中间证书不断的滥发或者出了纰漏,就会被吊销。
CA机构是否会有影响?如果授权中间品牌机构发生问题,会直接影响根证书。我们只能祈祷部分CA机构少发有些这种规则的证书吧。
被惩罚的CA机构,赛门铁克(Symantec)就是其中之一,这篇文章可以帮到你免费SSL证书那些事
非CA官方中间证书SSL证书信任度
SSL证书是否被信任,是由浏览器、操作系统、CA机构等组成的一个叫CA/B论坛组成讨论。但不代表在CA/B的CA机构就完全被浏览器信任。
无论是操作系统还是浏览器开发商,他们都有一个相同点,不同的时间开发出不同版本的软件。
所以CA机构的成立根证书的时间非常重要,会直接影响证书的信任度。
我们不能确保世界的所有人使用同一款或者最新的浏览器与操作系统。比如被淘汰的微软在2001年10月25日发行:Windows XP操作系统,使用的原始2001年10月25日发行的:IE6.0浏览器。我们不能否认,还有人正在使用,并且主要用于办公。
所以我们希望选择更早发行的CA机构根证书(如图),意味着他可以信任1998年后的所有操作系统与浏览器。
1998年根证书如果选择2010年的CA根证书那会成功的远离这些操作系统的信任。
来源myssl
2020年根证书CA机构根证书同样有到期时间,如果到期就会导致很多浏览器不信任,比如:
Sectigo(Comodo)2020年5月30日AddTrust根到期导致部分操作系统不信任
谷歌英文翻译文截图总结
尽量选择官方CA根证书成立时间早的,因为他会信任更多的浏览器与操作系统,避免了用户流量损失。
主流CA机构根证书最后:在这里每天都会有SSL证书干货,欢迎订阅关注。
举报/反馈
0
0
收藏
分享
