为什么我们用证书包装SSL公钥?

时间:2017-06-08 19:53:09

标签: ssl ssl-certificate

我知道一些研究

  • 公钥/私钥如何工作
  • SSL证书包装公钥
  • 给出证书签名请求(CSR),证书颁发机构(CA)颁发证书
  • 当用户首次连接到受SSL保护的网站时,用户首先使用受信任的第三方验证证书

我读到SSL证书向用户承诺他们正在连接到他们认为他们正在连接的聚会。 这是什么意思?包含公钥的额外安全性为我们提供了什么,而不仅仅是拥有公钥?非常感谢一个例子。

E.g。如果Facebook只给我公钥,而不是包含公钥的SSL证书,我将面临哪些危险?确保地址栏阅读https://www.facebook.com/不够吗?

2 个答案:

答案 0 :(得分:1)

通过将公钥包装在证书中,您可以验证:

  • 该密钥确实属于您要访问的一方。证书通过在主题中包含域来提供此功能。并且您知道您可以信任此信息,因为证书由本地受信任的证书机构直接或间接签名。
  • 密钥仍然有效且不受损害。证书具有生命周期(开始和结束),也可以撤销。
  • 密钥可用于服务器身份验证。颁发CA将适当的密钥使用信息放入证书中。

答案 1 :(得分:1)

  

确保地址栏阅读https://www.facebook.com/不够吗?

公钥没有名称,因此您将连接到主机,它会为您提供密钥,就是这样。如果攻击者能够拦截您的请求,他们只会给您自己的公钥,而您无法知道他不是facebook.com

  

我会接触到什么危险?

中间人是主要威胁。对它的抗辩都在证书中:

  • 证书SubjectAltNames扩展名或主题值说明证书的预期属性。
  • 证书说谁发出了它。所以你可以说“是啊?sez是谁?”,它说“好吧,VeriSign说”。
    • 然后,您可以查看VeriSign是否适合您为您做出信任决定(即,您的根信任列表中的VeriSign)
  • CA可以跟踪客户端何时将其密钥报告为被盗,因此CA可以将证书标记为已撤销。
    • 这意味着即使它说它对facebook.com有好处,但CA说它没什么好处,可能你正在和偷了它的人说话,而不是facebook.com。