我相信我最了解与SSL证书相关的验证链。然而,有一种情况我不确定。 考虑这种情况: 受信任的CA为服务器A签署证书。 此有效证书的所有者使用服务器A私钥/公钥为恶意实体(服务器B)签署欺诈性证书。
如果客户端连接到另一个实体并且恶意服务器B位于中间,它是否无法发回其证书并被客户端验证为可信? 即服务器B发送其公共证书和服务器A的证书,客户端机器验证: 受信任的CA颁发的服务器作为cert(因此它的有效)和服务器As密钥用于发布服务器B(因为A是受信任的,B是受信任的)。
我想用另一种方式表达,每个中间证书颁发机构是否都需要在受信任的证书存储区中(似乎答案是肯定的)
答案 0 :(得分:1)
普通的SSL证书无法用于签署其他证书。您需要签名证书。受信任的CA只会为其信任的实体签署签名证书,并且有一个完整的检查级别。