因此,当最初客户希望将其公钥注册到CA时,他将需要CA的公钥,以便将他自己的公钥发送给CA进行注册。客户如何获得密钥?
最终当客户端确实设法发送他的公钥进行注册时,中间人攻击是不是可以将自己作为客户端自己发送并发送自己的公钥而不是客户端?
我对CA的工作方式有一个基本的了解,但不了解公钥的初始注册如何在没有任何嗅探或欺骗的情况下发生。
答案 0 :(得分:1)
认证(或证书)签名请求由请求者的私钥签名。这可以防止MITM篡改,但不能防止MITM篡改+替换公钥+重新签名。
缓解因素通常是通过TLS传输请求,提供有效负载的防篡改传送(并为发送方提供验证CA是预期CA的方法)。
TLS服务器身份验证证书最终将链接到内置于OS / browser / other-client-trust-list中的证书。