如果我为mycompany.com购买证书并获得Verisign签署的有效证书,是什么阻止我生成由mycompany签署的othercompany.com的假证书?
让一个中间人攻击的人阻止我为mycompany签名的othercompany.com发出假证书,并将我的有效证书作为中间CA证书。
答案 0 :(得分:1)
其中一个基本约束"发行人可以附加到证书上的是证书是否被允许签署其他证书。在不使证书无效的情况下,不能修改这些约束。由于CA始终会向您发放一个标记为" End Entity"您无法使用它来颁发其他证书。
虽然您可能仍然可以创建由" End Entity"颁发的证书,但任何正确验证证书链的软件都会将此类证书标记为无效并拒绝该证书。