V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ivmm
V2EX  ›  问与答

中间证书,该怎么解释?

  •  
  •   ivmm · 2016-02-06 10:51:40 +08:00 · 2535 次点击
    这是一个创建于 3213 天前的主题,其中的信息可能已经有所发展或是发生改变。

    All operating systems contain a set of default trusted root certificates. But Certificate Authorities usually don't use their root certificate to sign customer certificates. They use so called intermediate certificates instead, because these can be rotated more frequently.

    作用和意义是什么?我发现搜不到准确的结果

    11 条回复    2016-02-13 12:48:32 +08:00
    helloyang
        1
    helloyang  
       2016-02-06 11:00:54 +08:00
    这应该是证书一级一级地信任原则吧,最上面是根证书,但基本不直接使用根证书签名文件。而是一级一级的信任,根证书发布中间证书,中间证书可以再发,然后用中间证书签署
    例如:
    Certificate 1 - Issued To: example.com; Issued By: Intermediate CA 1
    Certificate 2 - Issued To: Intermediate CA 1; Issued By: Intermediate CA 2
    Certificate 3 - Issued To: Intermediate CA 2; Issued By: Intermediate CA 3
    Certificate 4 - Issued To: Intermediate CA 3; Issued By: Root CA

    详见 https://en.wikipedia.org/wiki/Intermediate_certificate_authorities
    mrjoel
        2
    mrjoel  
       2016-02-06 11:03:40 +08:00 via iPhone
    根证书的服务器资源有限 访问起来也慢 就授权了可信中间机构代为颁发证书 比如 CA ,作用类似 DNS 递归服务器吧
    wql
        3
    wql  
       2016-02-06 11:06:33 +08:00 via Android
    证书有信任链原则。一些根 CA 资源有限,于是交叉签名了其他 CA 来帮他签名,就是所谓的中级证书。
    songjiaxin2008
        4
    songjiaxin2008  
       2016-02-06 11:07:25 +08:00 via iPhone
    代理商也要签发 做生意的 总不能把根给他 是吧
    kiritoalex
        5
    kiritoalex  
       2016-02-06 11:08:00 +08:00
    可以去看 Moxie Marlinspike 在 2009 BlackHat DC 对 sslstrip 做的 presentation

    简单地来说,(也许不大准确)就是 Intermediate Certificate Authority
    1.不是内置在浏览器中的
    2.仍然具有权威性
    3.可以验证站点证书是有权威性的
    mrjoel
        6
    mrjoel  
       2016-02-06 11:08:01 +08:00 via iPhone
    打错。。 CA 是根证书那边 CNNIC 是中国的
    kiritoalex
        7
    kiritoalex  
       2016-02-06 11:11:15 +08:00
    @kiritoalex 再多解释一下,
    Certificate Authority Certificate (即根证书)有如下的特点:
    1.内置在浏览器内
    2.有权威性
    3.验证 Intermediate Certificate Authority 是否具有权威性
    Strikeactor
        8
    Strikeactor  
       2016-02-06 12:18:38 +08:00
    之前 CNNIC 乱搞被谷歌和火狐的浏览器拒绝信任过
    要全用根签,这一拒不是所有的证书都跪了。。

    根一般不签证书,只授权下级签发机构的,类似于 A 信任 B , B 信任 C 。你跟浏览器说“我是 C ”不行,必需补上一句“我是 B 推荐的”。
    gamexg
        9
    gamexg  
       2016-02-06 12:43:28 +08:00 via Android
    为安全原因,不会使用根证书签,而是签一个二级证书,再用二级证书签。

    安全原因好象是通过特制的 hash 有可能解密出密钥。
    gamexg
        10
    gamexg  
       2016-02-06 12:46:17 +08:00 via Android
    好吧,用二级证书的原因是根证书密钥可以完全离线保存,安全性更好。
    shiji
        11
    shiji  
       2016-02-13 12:48:32 +08:00
    CA 是基本上不能三天两头变动的,中间证书可以快速根据安全的更新(比如 SHA1 升级到 SHA256 )升级,算法的不同( RSA/DSA ),还有证书类型的差异( Domain Validated/ Organization Validated/ Extended Validated ), CA 是内置在操作系统里面的 /或者是浏览器, 而中间证书是靠安全协议传输过来的,客户端能验证有效性就行了,不需要频繁更新。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2749 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 09:45 · PVG 17:45 · LAX 01:45 · JFK 04:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.