证书颁发机构应该验证网站是否真的是他们所说的,对。但证书颁发机构签署了自己的证书。所以那些证书是自签名的。有没有办法可以找出他们在网站上使用的自签名证书是否有信誉和值得信赖?
答案 0 :(得分:2)
您必须信任颁发证书的CA.否则,我们会遇到经典的鸡蛋问题,即没有具体的信任和确定性边界。
一旦您信任CA颁发者,您可以通过在命令行上编写以下内容来检查您所拥有的证书是否是由相关CA实际颁发的:
$ openssl verify -verbose -CAfile cacert.pem server.crt
预期输出:server.crt: OK
如果您收到任何其他消息,则该CA不会颁发该证书。
答案 1 :(得分:0)
答案 2 :(得分:0)
[您]是否有办法找出他们使用的自签名证书? 在他们的网站上信誉良好且可信赖?
您可以自己研究证书颁发机构。
某些人可能不信任证书颁发机构,包括Google。 Google在2016年5月发布了他们不信任的权威列表:
https://www.theregister.co.uk/2016/03/23/google_now_publishing_a_list_of_cas_it_doesnt_trust/
您要么必须相信工具(Web浏览器等)附带的预安装证书受到这些工具的生产者的信任,要么可以做一些研究,看看自己是否真的信任它们。基本上就像问您如何信任任何人或任何事物。我可以相信你吗?
我相信我的浏览器随附的CA,因为好吧,如果我不信任他们,那我们所有人都会有问题,而这个问题比我要大。我认为最好问这样的问题,我想知道是否有Google以外的人在质疑证书颁发机构。