感谢您对这些问题的任何帮助或指导: 我的客户正在为Azure中托管的应用程序使用已打开的服务器。 (在login.microsoftonline.com上)
主机开始提供由不同CA颁发的不同证书:
旧证书:
Issuer: C=US, O=Symantec Corporation, OU=Symantec Trust Network, CN=Symantec Class 3 EV SSL CA - G3
有时会返回新证书:
Issuer: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, OU=Microsoft IT, CN=Microsoft IT SSL SHA2
客户使用OpenSSL命令获取证书信息(转储主机的证书详细信息)。
他们需要澄清一下这个主机的行为: 如果客户端只将所需的证书颁发机构列入白名单,这是该主机可能公开的证书列表? 这样的清单应该是稳定的还是可能改变? 由于该主机是关键安全数据的生产者,因此他们希望了解如何以安全的方式识别它(没有将通信暴露给中间人攻击的风险)
非常感谢你的帮助!
答案 0 :(得分:0)
域的所有者决定将哪个CA用于属于该域的证书。因此,您需要询问域的所有者(即本例中的Microsoft),他们计划将来使用哪个CA.
现在看起来微软正在使用子CA“Microsoft IT SSL SHA2”,它由微软自己拥有。任何浏览器都不信任此子CA本身,但它由根CA“Baltimore CyberTrust Root”签名,后者位于浏览器信任库中。但这可能会改变,即Microsoft可能决定使用不同的子CA,然后可能由不同的根CA颁发。询问他们未来的计划。