All operating systems contain a set of default trusted root certificates. But Certificate Authorities usually don't use their root certificate to sign customer certificates. They use so called intermediate certificates instead, because these can be rotated more frequently.
作用和意义是什么?我发现搜不到准确的结果
1
helloyang 2016-02-06 11:00:54 +08:00
这应该是证书一级一级地信任原则吧,最上面是根证书,但基本不直接使用根证书签名文件。而是一级一级的信任,根证书发布中间证书,中间证书可以再发,然后用中间证书签署
例如: Certificate 1 - Issued To: example.com; Issued By: Intermediate CA 1 Certificate 2 - Issued To: Intermediate CA 1; Issued By: Intermediate CA 2 Certificate 3 - Issued To: Intermediate CA 2; Issued By: Intermediate CA 3 Certificate 4 - Issued To: Intermediate CA 3; Issued By: Root CA 详见 https://en.wikipedia.org/wiki/Intermediate_certificate_authorities |
2
mrjoel 2016-02-06 11:03:40 +08:00 via iPhone
根证书的服务器资源有限 访问起来也慢 就授权了可信中间机构代为颁发证书 比如 CA ,作用类似 DNS 递归服务器吧
|
3
wql 2016-02-06 11:06:33 +08:00 via Android
证书有信任链原则。一些根 CA 资源有限,于是交叉签名了其他 CA 来帮他签名,就是所谓的中级证书。
|
4
songjiaxin2008 2016-02-06 11:07:25 +08:00 via iPhone
代理商也要签发 做生意的 总不能把根给他 是吧
|
5
kiritoalex 2016-02-06 11:08:00 +08:00
可以去看 Moxie Marlinspike 在 2009 BlackHat DC 对 sslstrip 做的 presentation
简单地来说,(也许不大准确)就是 Intermediate Certificate Authority 1.不是内置在浏览器中的 2.仍然具有权威性 3.可以验证站点证书是有权威性的 |
6
mrjoel 2016-02-06 11:08:01 +08:00 via iPhone
打错。。 CA 是根证书那边 CNNIC 是中国的
|
7
kiritoalex 2016-02-06 11:11:15 +08:00
@kiritoalex 再多解释一下,
Certificate Authority Certificate (即根证书)有如下的特点: 1.内置在浏览器内 2.有权威性 3.验证 Intermediate Certificate Authority 是否具有权威性 |
8
Strikeactor 2016-02-06 12:18:38 +08:00
之前 CNNIC 乱搞被谷歌和火狐的浏览器拒绝信任过
要全用根签,这一拒不是所有的证书都跪了。。 根一般不签证书,只授权下级签发机构的,类似于 A 信任 B , B 信任 C 。你跟浏览器说“我是 C ”不行,必需补上一句“我是 B 推荐的”。 |
9
gamexg 2016-02-06 12:43:28 +08:00 via Android
为安全原因,不会使用根证书签,而是签一个二级证书,再用二级证书签。
安全原因好象是通过特制的 hash 有可能解密出密钥。 |
10
gamexg 2016-02-06 12:46:17 +08:00 via Android
好吧,用二级证书的原因是根证书密钥可以完全离线保存,安全性更好。
|
11
shiji 2016-02-13 12:48:32 +08:00
CA 是基本上不能三天两头变动的,中间证书可以快速根据安全的更新(比如 SHA1 升级到 SHA256 )升级,算法的不同( RSA/DSA ),还有证书类型的差异( Domain Validated/ Organization Validated/ Extended Validated ), CA 是内置在操作系统里面的 /或者是浏览器, 而中间证书是靠安全协议传输过来的,客户端能验证有效性就行了,不需要频繁更新。
|