我们有这种证书用于发展目的
svn switch我在这里看到CA:TRUE,因此我不确定将此证书作为可信任的OSX密钥链安装是否安全(假设几乎任何人都可以访问其私钥)。我没有看到证书签署"密钥用法"部分,但CA:TRUE让我有点紧张。相信这个证书是否安全?
答案 0 :(得分:2)
如果私钥是众所周知的,那么将信任用于任何目的是一个坏主意,无论其具体细节如何。 证书。
关于CA:TRUE在基本约束扩展中没有断言keyCertSign在密钥用法扩展中的断言,RFC 5280有这样的说法:< / p>
If the keyUsage extension is present, then the subject public key MUST NOT be used to verify signatures on certificates or CRLs unless the corresponding keyCertSign or cRLSign bit is set.
因此,符合要求的实现不会使用此证书来验证证书上的签名。但是,OS X实现的实际操作可能与RFC 5280不同,特别是如果证书在Keychain中明确标记为 trusted 。 (我确实使用OS X,所以我无法验证)。