SSL证书细微之处

时间:2012-06-21 17:09:48

标签: ssl

我一直在阅读有关SSL如何工作的技术基础知识(在那里非常难以找到外行/非技术文章/教程/视频的海洋)。我有3个小问题,它们本身感觉太小而不能混乱,但总的来说,我认为可以提供一些有关SSL如何工作以及解决似乎没有详细记录的问题的见解:

  1. 为什么 如何!)SSL证书是否过期?这些只是在AES等密码/算法上运行的公钥/私钥对。我假设幕后有财务/商业激励措施吗?!?

  2. 组织需要多少个SSL证书?在您说“这取决于您的组织”之前,我想这个问题的核心是:什么驱动因素让公司说,哦,我想我们将需要另一个证书,或10个以上的证书等。换句话说:为什么1个证书通常不足以满足组织要求?

  3. 为什么公司要求CA提供根证书,然后从该根证书中获取子证书?这种“证书树”提供了哪些好处? (而不是仅仅获得单独的证书。)

  4. 提前致谢!

1 个答案:

答案 0 :(得分:8)

  

1)为什么SSL证书到期?

当证书过期时,您基本上是说该公共/私人密钥对已被放弃。从技术上讲,您仍然可以使用此证书来加密数据,但到期日期可以减轻其他事项的撤销。此外,在X.509规范中,列出了到期的具体原因:

4.1.2.5 Validity

The certificate validity period is the time interval during which the
CA warrants that it will maintain information about the status of the
certificate.

CA发布有关证书的撤销状态信息,这意味着他们需要跟踪它们。证书到期后,CA已完成证书期限,并停止跟踪该证书的信息。您实际上是在向CA支付权利,要求该证书有效。

还有其他原因到期。如果我仍在使用2002年签署的证书(这是可能的),加密级别可能不符合当前使用的标准。通过设置证书的端点,您还可以设置需要升级的日期。

现在,当然,我认为你不能否认到期后最大的动机之一就是金钱[引证需要],但至少有一些技术和合理的想法背后。

  

2)组织需要多少个SSL证书/哪些驱动因素可以帮助他们决定?

这取决于您的组织。传统的SSL证书与域名匹配。但是,任何东西都可以使用密钥对(开发人员证书等)进行签名。因此,对于SSL,它将取决于您要保护的域的数量。对于传统证书,www.domain.com和example.domain.com是完全不同的实体。还可以购买其他类型的证书,例如通配符证书等,这些证书将取决于您的业务需求。说真的,你可以变得非常复杂或非常简单。以下是保护网站的一些基本和不同类型的概述:SSL Certificate Types

  

3)[有一个]“证书树”提供了哪些好处,而不仅仅是获得单独的证书?

您基本上是说您信任此CA以生成证书。这就是浏览器必须安装根CA才能接受证书的原因。他们说,“我相信这个权威机构只签署了有效和可靠来源的证书。”

在实践中,最终并非如此,因为许多CA在发布之前没有严格检查他们是谁给出了证书。并非总是如此,但它确实减轻了一些危险。问题是CA根证书私钥被泄露,因为任何人都可以伪造合法证书。

希望这能回答你的一些问题。