SSL证书详细介绍

SSL证书详细介绍

背景介绍

  每个人都有自己的身份证，身份证都是由权威机构警局进行办理，有身份证可以证明你是合法公民，没身份证或假身份证说明这个人很可能有问题，没身份证或假身份证的人很少有人会和你打交道，但也不排除有一些知根知底的人与你交流，大众信服力较低。
  好，回到正题，今天介绍的是SSL证书，那么SSL证书实际上充当上述的身份证，是一种类似于驾驶证、身份证的电子副本。不同的是，SSL证书配置在服务器上，是服务器的身份证，它是由一些合法权威的CA机构进行颁发，CA机构就类似于上述的警局，那么警局是否一定权威或者清廉呢？这个无法百分百的确保。
  那么就有廉政公署的出现。也就是说CA机构也无法保证不被入侵盗取根 证书私钥或者不乱颁发证书，那么这时证书就需要CT证书透明度来进行保障，提供一个开放审计和监控系统，确保证书未被错误颁发或恶意使用。SSL证书除了像是身份证件以外，还有两个重要的作用：
  1. 加密用户浏览器和web服务器之间的通讯数据。
  2. 验证web网站的身份。

内容详解

SSL证书在windows中打开是如下图所示：

基本信息包括
    证书的使用者：sina.com
    证书的颁发者：GeoTrust CN RSA CA G1
    证书的生存周期：2019-09-11 到 2021-12-10

详细内容包括以下项：
    版本：v3     （X.509版本号，指出证书使用哪种X.509标准，除v3之外还有v2和v1）
    序列号：‎05 c4 22 a6 ff ac 8f cd 74 4c 73 64 50 1e b4 04     （序列号是在合法颁发机构CA的范围内是唯一且与证书一一对应的，但自制证书可以伪造任意序列号）
    签名算法：sha256RSA    （CA可通过签名算法为其颁发的证书进行签名以证明证书的确是由其颁发的）    
    签名哈希算法：sha256
    颁发者：
    CN = GeoTrust CN RSA CA G1     （CN：证书通用名称）
    OU = www.digicert.com    （OU：组织部门名）
    O = DigiCert Inc     （O = 组织名）
    C = US     （C：国家）
    S = 四川    （S：省）
    L = 成都    （L：地址）
    有效期从：‎2019‎年‎9‎月‎11‎日 8:00:00（证书生效日期）
    到：‎2021‎年‎12‎月‎10‎日 20:00:00（证书失效日期，可能在证书失效之前证书被吊销）
    使用者：
    字段原理同颁发者

    公钥：RSA    （公钥使用2048位的RSA非对称加密算法）
    公钥参数：0500    （RSA算法产生的公钥，公钥参数是05 00， 05 00 在asn.1语法中代表null）
    授权密钥标识符：KeyID=91 9f 5e 31 15 ae 10 9f ad 60 c1 f7 c1 cc aa 48 34 2f 0c 26    （公钥密码算法）
    使用者密钥标识符：dc 0e 0f 85 92 54 02 85 cb ae 67 6d fa 4d 64 e1 6c 52 3a 3a    （公钥密码算法）
    使用者可选名称：DNS Name=sina.com    （证书支持的域名和IP地址列表，可以有多个，分为单域名证书和多域名证书）
    增强型密钥用法：服务器身份验证 (1.3.6.1.5.5.7.3.1)    （用于表示证书的具体用途，例如邮件签名或者身份验证签名）

    CRL分发点：http://crl3.digicert.com/GeoTrustCNRSACAG1.crl     （证书吊销列表CRL，用于存储被吊销证书的相关信息，在客户端验证时要访问吊销列表的URL地址获取证书是否已吊销的信息）
    证书策略：Policy Identifier=2.16.840.1.114412.1.1    （代表某个证书的安全程度，指示该证书是否能够用于特定的应用）
    授权信息访问： Access Method=联机证书状态协议 (1.3.6.1.5.5.7.48.1)
    （证书颁发者信息访问）
    基本约束：Subject Type=End Entity Path Length Constraint=None    （表明证书使用者的身份）
    1.3.6.1.4.1.11129.2.4.2：04 82 01 68 01 66 00 75 …h.f.u    （毒性扩展）
    密钥用法：Digital Signature, Key Encipherment (a0)    （指定证书的使用方法）
    指纹算法：sha1    （指纹加密采用的算法）
    指纹：‎14 e4 ed 79 3e fe e0 4d 07 ae df 0a b2 a9 bd a2 2b 23 11 fb    （证书的唯一标识）

异常证书

分为几种：

1. 自签名证书，普遍用于中间人攻击。
2. 低版本证书即<V3，可能会导致降级攻击。
3. 已吊销证书，使用合法证书不会出现已吊销的证书。
4. 超长过期时间证书，合法证书应在2年内过期。
5. 伪造CRL证书，伪造吊销列表链接地址，诱导访问恶意网址。
6. 黑证书，SSLBL收集了全球恶意证书指纹列表。