为什么需要进行CA证书链的校验

已于 2022-12-12 09:58:21 修改
阅读量1.1k 收藏 6
点赞数 1
分类专栏: 网络知识 文章标签: ssl https 服务器
于 2022-12-12 09:55:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012938083/article/details/128282442
版权

一、引言

CA 证书是 TLS 安全协议中进行 身份认证 的重要内容之一,这个知识在解决 信任链 的问题,即允许身份认证通过的客户端和服务端建立安全通信。
“可是 CA 证书究竟是什么?和 SSL 证书是什么关系?CA 证书为何可以进行身份认证呢?”以上种种,是我在学习这部分知识之前的困惑,也是本文想探究和分享的内容。
本文的面向对象是:产品经理 或者 其他对该知识感兴趣的读者,非研发视角。

二、概念

为了讲清楚 CA 证书相关的知识,需要了解以下基本概念,如下概念是我们可以进行对话的前提:

概念说明
证书颁发机构也称为 CA(Certificate Authority),是一个可信组织,他们是负责 签发和管理 数字证书 的权威机构,以便客户端和服务端之间可以进行安全通信。
根证书颁发机构Root Certificate Authority,也称为 根CA,是一个拥有可信根的证书颁发机构
中级证书颁发机构Intermediate Certificate Authority,由根证书颁发机构 授权和签发 的下一级机构,这些机构颁发的证书默认不会被 系统或浏览器 可信。中级CA有助于提高 CA颁发效率,同时可以减少错误发布或安全风险(不用撤销根证书,只需要撤销不授信的 中间证书 即可)
CA根证书root CA certificates,默认可信证书,具有极其严格的颁发管理规则,用来签发其它中间证书,是信任链的起点,也证书链的终点。Microsoft、Apple、Google 等设备均有在操作系统中内置根证书。
CA中级证书CA中级证书 是根证书的私钥签发一类证书,使用 CA 中级证书 可以签发面向终端用户的 SSL 证书。
证书链Certificate Chain,CA 根证书通过私钥签发 CA中间证书,然后CA中间证书通过私钥签发下一级 中间证书 或 叶子证书,形成一个完整的 证书链。
数字签名Digital Signature,在 CA 的场景下,数字签名类似 数字公证,因为签名的本质是进行 信任传递,将对根证书的信任,传递给 中间证书。

三、学科原理

1、CA 证书是如何解决信任问题的?

通过以上的 概念 部分可知,我们常说的 CA 证书,大多是指 面向组织或个人签发的 数字证书,这份证书,也被称为 SSL 证书。之所以还有 SSL 的叫法,是因为 TLS 协议来源于 SSL 协议。现在说的 SSL 准确来说是指 TLS,是延续下来的说法而已。就像是 火车,现在火车都用电了,但是还是叫 火车。

浏览器或客户端 之所以能够信任 服务端, 是因为 客户端会使用 TLS 证书对服务端的身份进行校验,即客户端会进行证书链的校验流程。以访问 中国工商银行 为例:

  1. 浏览器访问 https://www.icbc.com.cn/icbc/ URL 时,通过 TLS 握手,会收到该域名的 TLS证书。
  2. 浏览器会快速校验 证书合法性,包括:证书是否过期、域名和证书中的是否一致、证书是否有效。
  3. 证书是否有效,并不能由该证书说了算,需要由上一级证书说了算,即 上一级证书中的 公钥,用来解密证书中的签名,得到证书 摘要信息,然后用 hash 算法生成证书的 摘要信息,如果2个摘要信息一致,则认为证书校验通过。
  4. 然后循环往复往,直到校验到设备上的根证书截止(由于根证书 默认可信,所以校验到根证书就截止)。
  5. 当无法 通过证书链 找到可信的根证书时,客户端不会信任该证书。

2、为什么证书链的校验有效?

证书链 之所以 有效,是因为证书链校验的本质,其实是 信任链。而信任链的本质,是 信任传递。而 信任传递 的本质,经过了生活中不同场景的广泛验证。
CA 机构采用 根证书、中级证书、子证书 的方式,来管理和维护 信任链 问题。因为信任 根证书,所以信任 根证书 颁发的中级证书,也就信任了 中级证书 颁发的 子证书。这份信任,来源于生活:

  • 身份证:生活中,我们认证某个人的身份时,会对某人的身份证进行校验。之所以信任某个人的身份证,是因为由国家进行颁发,我们可以在国家的相关系统中进行验证。
  • 货币:我们平时使用的人民币,其实也有 信任链 在里面,即 中国人民银行,本质是 国家信用体系。如果我们对国家失去了信心,对 中国人民银行 失去了信心,人民币也就不会存在广泛流通的问题了。

为什么会产生 信任链?我觉得是 信任链 节省能量和提高效率。对于个人、组织或客户端而言,校验到根节点可信后,即可认为根节点发散出去的子节点也可信,不用再继续进行无休止校验。

3、为什么 根证书默认可信?

为什么根证书默认可信,和为什么 中国人民银行 默认可信,其实有同样原因。我们其实可以从 2个 角度来看待可信。
第一个角度是 社会信任(social trust)。CA机构必须严格遵守规则、审计和公众监督等要求,所有的这些都是为了获取足够的社会信任。就和国家一样,需要长期行为来建立国际国内信任。这是技术信任的前提。
第二个角度是 技术可信(technical trust)。人民币的防伪技术、CA 证书的签名认证技术等,通过技术增加可信。

四、对我们有何启发?

案例1:信任链需要自己经营。在人生的每个阶段,都能够靠谱负责的对待自己的学习工作,经营好自己的信任感,这是我们可以带走的财富。因为别人信任的是我们本人,我们是他人信任的根节点。

案例2:最近很火的社交电商(通过社交关系,利用社交软件,进行商品推广交易等),其本质也是信任链,即信任传递。我们信任朋友,所以信任他们分享的产品。

五、参考资料

  1. The Difference Between Root Certificates and Intermediate
  2. Certificates iOS 12、macOS 10.14、Apple tvOS 12 和 watchOS 5
    中可用受信任根证书的列表
哈喽锋文~
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OneNet MQTT 接入CA证书
09-30
OneNet MQTT 接入CA证书
openssl 生成自签名证书以及CA证书
jxhaha的博客
06-18 1284
这里涉及到一个server.ext,这是为了适应现代浏览器SSL证书标准。和root.ext类似,需要手动创建,内容如下。这里涉及到一个ca_intermediate.ext,和root.ext类似,需要手动创建,内容如下。执行命令后,会提示你输入一些内容,请按照提示输入,每一项输入的内容需要自己记住。中间证书的制作过程与根证书类似,这里直接将命令贴上。中间证书的制作过程与根证书类似,这里直接将命令贴上。进一步输入一下命令进行验证。结果中必须包含如下类容。执行结果应该和下面一致。输出结果应该如下所示。
TLS握手证书校验
chinamen1的博客
02-24 806
看一遍忘一遍,还是自己写一遍,看看这次能记多久。在TLS握手过程中,通过证书校验认证服务端的身份和交换加密秘钥,握手完成之后后续就可以进行加密数据传输。在浏览器地址栏上点击锁的图标,能打开查看证书的详细信息。首先可以看到证书包含了多个层级,最下层的是我们直接访问的网站的服务证书,最上层是根证书。每个证书都属于一个机构组织。除了根证书是由根CA自己签发给自己的,其他证书都是由上一级组织用上一级的证书签发出来的,所以形成了层级结构。点开细节可以看到证书的更多信息,主要看证书包含什么信息?
RSA证书验证
最新发布
一个认真摸鱼的商用密码从业人员
03-20 737
到这一步基本可以说明,证书验证通过了,如果觉得不太能确认的话,可以通过对三级证书签名原文hash,验证是否同上述哈希值一致,一致则证明验证通过。因为上图中,可以看到证书使用的签名算法为SHA256,故数据后32字节为哈希值。使用工具解析三级证书,在签名值域中截取上级证书的签名值。使用SHA256算法对签名原文计算哈希,检查是否一致。获取上级证书公钥,使用工具解析二级证书。对比一致,证书验证通过。
证书的基本原理
sky8336的博客
02-05 3969
证书的基本原理 证书: 由一串数字证书接而成 1、数字证书 数字证书: 用来认证公钥持有者身份合法性的电子文档,以防止第三方冒充行为。 由 CA(Certifacate Authority) 负责签发, 关键内容: 颁发者、证书有效期、使用者组织、使用者公钥 等信息。 PKI(Public Key Infrastructure) 规范体系,包含: 数字证书格式定义 密钥生命周期管理 数字签名及验证 问题: CA 是如何签发一张证书? 使用者如何验证证书?
自制二级ca证书ssl证书
老专家的博客
05-14 634
OpenSSL create certificate chain with Root & Intermediate CA 下面内容保存为shell脚本,放到root根目录,会创建tls目录,然后在里面创建证书 set -x rm -fr tls/ mkdir /root/tls cd /root/tls echo 01 > serial touch index.txt mkdir certs private cat >openssl.cnf << "EOF" HOME
使用OpenSSL创建多级CA证书签发证书并导出为pkcs12/p12/pfx文件
Laurence的技术博客
03-21 7704
文章目录1. 生成根CA证书并自签2. 生成二级CA证书并使用CA证书签发3. 生成服务器证书并使用二级CA证书签发4. 制作CA证书5. 打包为p12文件6. 注意事项7. 使用`openssl x509`和`openssl ca`签发CA证书的差别 操作步骤: 生成根CA证书并自签 生成二级CA证书并使用CA证书签发 生成服务器证书并使用二级CA证书签发 制作CA证书 打包为p12文件 1. 生成根CA证书并自签 # 创建root-ca并自签名 openssl req -x509 -newkey
理解证书证书
热门推荐
求变,从思想开始
05-30 3万+
证书证书最近一直在研究的东东,这东西说到底,也是依赖于一个前提ROOT 证书,所以说很多安全说最终也是个伪命题;只是搞理论的人喜欢把东西搞复杂,乱扯概念,不讲本质。1. 简单来说,end-user证书上面几级证书都是为了保证end-user证书未被篡改,保证是CA签发的合法证书,进而保证end-user证书中的公钥未被篡改。2.除了end-user之外,证书被分为root Certific...
证书-证书校验
大力海棠的博客
02-03 8540
先来打开一个网站的证书看看: 它的结构是,顶端根证书DigiCert,中间证书GeoTrust RSA CA 2018,和最下级的服务器证书*.csdn.net。为什么会有中间证书?原因上一篇日志说过,由于权威的CA机构数量不多,如果所有的服务器申请证书都将CSR证书请求文件发送到CA机构,那么CA机构的工作量就会非常大,因此CA机构采取授权二级机构的方式来管理证书申请,经授权的二级机构也...
证书+证书的简单理解
zion--6135的博客
10-28 1625
参考:一起学加密(23)——证书是什么_哔哩哔哩_bilibili
一文详解 HTTPS 与 TLS证书校验
赶路人儿
11-07 3452
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议,是一种通过计算机网络进行安全通信的传输协议。HTTPS利用SSL/TLS来加密数据包,经由HTTP进行通信。其设计的主要目的是,提供对网站服务器的身份认证、保护交换数据的隐私与完整性。SSL/TLS握手协商:用非对称加密的手段传递密钥,然后用密钥进行对称加密传递数据。
ca.zip_CA_CA 证书 _ca证书_数字证书_证书生成
09-24
实现基本的CA功能,生成证书,撤销证书
北京CA 证书应用安装程序
07-25
北京CA 证书应用安装程序
CA证书资源包(全版本通用)
12-15
该资源是原生无毒,也没有任何插件,请放心下载,谢谢,压缩包无密码,直接解压即可,如不放心可以用任何杀毒工具进行扫描
mkcert证书创建自签名工具SSL证书CA证书颁发
05-05
可省去choco下载安装的步骤,直接使用mkcert创建和签名证书,通过mkcert -install命令创建ca证书,傻瓜式零配置签发证书
Loopback Interface(环回接口)看这篇就够了
u012938083的博客
08-23 1万+
1、简介 作用: 1、使本机中的不同进程(client和server)直接通过TCP/IP协议栈进行通信,让数据报不离开本机,避免将报文暴露到外网 举例:通过浏览器本地预览 Axure 原型(见2 抓包) 2、排障(troubleshooting ):如果ping 127.0.0.1 不通,则表示主机的TCP/IP协议栈有问题 特点: 虚拟网络接口(virtual network interface ) IPv4:127.0.0.0/8,通常使用127.0.0.1(主机名: localhost) li
IP路由到底是什么?
u012938083的博客
08-30 3678
IP Routing(IP路由)是不同网络设备通信的基础,通过IP路由,查找到拟建立通信的设备. 1、在 直连(point-to-point link)或 共享网络中(on a shared network):IP报文直接发送给 目的主机 2、在 非直连或共享网络:报文发送给默认路由器,由路由器进行转发 IP层即可被配置为主机,又可被配置为路由器,两者区别如下: 1、主机:不可以转发报文 2、路由器:可以转发报文 如手机开启热点,IP层被配置为路由器;手机未开启热点,IP层被配置为主机
为什么TCP/IP协议栈要进行分层?
u012938083的博客
03-12 3069
目录 一、总结 二、术语定义 二、封存 1、简介 2、TCP/IP Layering(TCP/IP 分层) 1)TCP(Transmission Control Protocol)传输控制协议 2)UDP(User Datagram Protocol)用户数据报协议 3)IP(Internet Protocol)网际互连协议 4)ARP(Address Resolution Protocol) 5)Internet Address(IP地址) 3、封装与解封装 1)Encapsula
两台nginx,一台做服务端,一台做客户端,实现双向认证并使用证书校验,怎么配置
06-10
在上述的配置中,配置了 `ssl_client_certificate`,这个证书CA 证书,如果需要使用证书校验需要CA证书加入到 `ca.crt` 文件中。 将 CA 证书加入到 `ca.crt` 文件中的方法是:将所有的 CA 证书用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值