为什么浏览器有3个级别的SSL证书?

时间:2019-01-14 17:18:51

标签: ssl https

当我打开网络内部的内部应用程序(Intranet企业应用程序)的SSL详细信息时-我看到3个级别的证书吗?每个级别是什么意思?

elve

1 个答案:

答案 0 :(得分:1)

每个“级别”没有具体定义。

HTTPS世界使用PKIX模型进行工作:每个实体(这里特别是网站及其主机名)都通过某些X.509证书进行了验证。

为使信任发生,此服务器证书需要由另一个证书(称为您信任的授权证书)签名。

浏览器随附了数百个默认授权证书。该系统是在假设您完全信任这些证书后面的实体的基础上构建的(是的,无需在任何时候都看到所有此列表或未明确表示同意;您可以从浏览器的乃至OS信任存储中删除所有这些实体,但是然后将无法再通过HTTPS在任何地方进行连接,您将需要一个一个地重新添加它们),这意味着您接受由这些授权证书签名的任何证书为有效证书(除其他技术检查,如日期等)。

但是出于多种技术和非技术原因,当局通常不直接签署最终证书,而是使用中间证书(如果需要,可以使用中间级别的证书)。

由于信任从根流出来,因此它与上面的模型没有任何改变,并且当您连接到服务器时,它以自己的证书以及返回任何受信任根所需的任何其他中介进行响应。

请注意深度可能会有所不同。一些机构可能直接颁发最终证书(因此您的输出中将有2个“级别”),一些机构可能使用一个中介(常见情况),某些机构可能使用级联的中介(可以限制通过其证书中某些技术要点的中介) (仅用于签署某些特定证书,例如使用特定名称等),这就是颁发您正在查看的给定最终证书的证书颁发机构。

当您处理“自签名”证书时,您将不再具有级别,因为该证书是由其自身签名的,这意味着它是其自己的证书颁发机构,因此在证书列表中是单独的。

相关问题
最新问题