据我所知,SSL安全的根源是基于证书颁发机构的公钥。而且我不知道为什么这个钥匙可以被中间人捏造:
中间的人收到了这个CA公钥,但后来发给我一张公钥和他自己的假证书,并假装它是有效的。我使用此密钥计算证书签名以验证它,但如果此密钥是假的,我怎么知道证书不是来自可靠来源?
答案 0 :(得分:1)
为了使任何PKI起作用,每一方都应该拥有他们信任的CA的公钥列表。这些密钥是从软件供应商处安全地带外获取的。
从服务器收到的SSL证书(包含SSL服务器的公钥)由AC之一的私钥签名。如果没有访问CA的私钥,就无法伪造有效证书,因此中间的人无法发送看似有效的伪造证书。
为了使用PKI,我们需要信任两件事: 1 /我们可以安全地检索CA的公钥 2 / CA不会因签署伪造证书或窃取钥匙而陷入困境。