为什么需要进行CA证书链的校验

已于 2022-12-12 09:58:21 修改
阅读量1.3k 收藏 6
点赞数 1
分类专栏: 网络知识 文章标签: ssl https 服务器
于 2022-12-12 09:55:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012938083/article/details/128282442
版权
本文探讨了CA证书在TLS安全协议中的作用,解释了证书链校验的重要性,阐述了信任链的概念,并以访问中国工商银行为例详细说明了证书校验过程。通过分析身份证和货币的信任机制,阐述了信任链的建立和维护,强调了根证书默认可信的社会和技术原因。文章启示我们,信任链在生活和工作中无处不在,值得我们深入理解和应用。
摘要由CSDN通过智能技术生成

一、引言

CA 证书是 TLS 安全协议中进行 身份认证 的重要内容之一,这个知识在解决 信任链 的问题,即允许身份认证通过的客户端和服务端建立安全通信。
“可是 CA 证书究竟是什么?和 SSL 证书是什么关系?CA 证书为何可以进行身份认证呢?”以上种种,是我在学习这部分知识之前的困惑,也是本文想探究和分享的内容。
本文的面向对象是:产品经理 或者 其他对该知识感兴趣的读者,非研发视角。

二、概念

为了讲清楚 CA 证书相关的知识,需要了解以下基本概念,如下概念是我们可以进行对话的前提:

概念 说明
证书颁发机构 也称为 CA(Certificate Authority),是一个可信组织,他们是负责 签发和管理 数字证书 的权威机构,以便客户端和服务端之间可以进行安全通信。
根证书颁发机构 Root Certificate Authority,也称为 根CA,是一个拥有可信根的证书颁发机构
中级证书颁发机构 Intermediate Certificate Authority,由根证书颁发机构 授权和签发 的下一级机构,这些机构颁发的证书默认不会被 系统或浏览器 可信。中级CA有助于提高 CA颁发效率,同时可以减少错误发布或安全风险(不用撤销根证书&#x
最低0.47元/天 解锁文章
哈喽锋文~
关注
专栏目录
使用OpenSSL创建多级CA证书签发证书并导出为pkcs12/p12/pfx文件
Laurence的技术博客
03-21 8533
文章目录1. 生成根CA证书并自签2. 生成二级CA证书并使用CA证书签发3. 生成服务器证书并使用二级CA证书签发4. 制作CA证书5. 打包为p12文件6. 注意事项7. 使用`openssl x509`和`openssl ca`签发CA证书的差别 操作步骤: 生成根CA证书并自签 生成二级CA证书并使用CA证书签发 生成服务器证书并使用二级CA证书签发 制作CA证书 打包为p12文件 1. 生成根CA证书并自签 # 创建root-ca并自签名 openssl req -x509 -newkey
httpclient 绕开HTTPS证书校验
07-05
在默认情况下,`httpclient`会使用系统提供的`TrustManager`,这会严格检查服务器证书是否可信任。但是,我们可以通过创建一个信任所有证书的`TrustManager`实例,然后将其设置到`SSLContext`中,从而跳过证书验证...
[加密]证书CA证书信任
anxuan3201的博客
03-18 941
转自:https://www.jianshu.com/p/6bf2f9a37feb TLS 传输层安全性协定 TLS(Transport Layer Security),及其前身安全套接层 SSL(Secure Sockets Layer)是一种安全协议,目的是为网际网路通信,提供安全及数据完整性保障。 如图,TLS 在建立连接时...
理解证书证书
热门推荐
求变,从思想开始
05-30 3万+
证书证书最近一直在研究的东东,这东西说到底,也是依赖于一个前提ROOT 证书,所以说很多安全说最终也是个伪命题;只是搞理论的人喜欢把东西搞复杂,乱扯概念,不讲本质。1. 简单来说,end-user证书上面几级证书都是为了保证end-user证书未被篡改,保证是CA签发的合法证书,进而保证end-user证书中的公钥未被篡改。2.除了end-user之外,证书被分为root Certific...
【学习笔记】SSL证书安全机制之证书
最新发布
Taki_UP的博客
09-06 1330
本篇介绍了证书,从根证书,中间证书,到服务器证书,阐明了证书的原理,并给出示例
一文详解 HTTPS 与 TLS证书校验
赶路人儿
11-07 6425
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议,是一种通过计算机网络进行安全通信的传输协议。HTTPS利用SSL/TLS来加密数据包,经由HTTP进行通信。其设计的主要目的是,提供对网站服务器的身份认证、保护交换数据的隐私与完整性。SSL/TLS握手协商:用非对称加密的手段传递密钥,然后用密钥进行对称加密传递数据。
TLS握手证书校验
chinamen1的博客
02-24 1314
看一遍忘一遍,还是自己写一遍,看看这次能记多久。在TLS握手过程中,通过证书校验认证服务端的身份和交换加密秘钥,握手完成之后后续就可以进行加密数据传输。在浏览器地址栏上点击锁的图标,能打开查看证书的详细信息。首先可以看到证书包含了多个层级,最下层的是我们直接访问的网站的服务证书,最上层是根证书。每个证书都属于一个机构组织。除了根证书是由根CA自己签发给自己的,其他证书都是由上一级组织用上一级的证书签发出来的,所以形成了层级结构。点开细节可以看到证书的更多信息,主要看证书包含什么信息?
Certificate数字证书的有效性验证
M先生的博客
06-19 1630
数字证书有效性验证的概念及代码
https证书校验方法
12-09
如果服务器证书不是由系统信任的CA签发,或者证书不完整,校验会失败。开发者可以创建自己的`TrustManager`实例,例如`X509TrustManager`,并覆盖其`checkServerTrusted`方法,允许自签名证书或者特定的CA签发的...
验证证书验证证书
01-22
1. **获取证书**:客户端(如浏览器)首先接收服务器提供的证书,这个证书包含了服务器的公钥和CA的签名。接着,服务器可能会提供一个中间证书,这个证书CA签发的,用来证明服务器证书的真实性。 2. **验证根...
curl 校验服务器证书代码
03-09
- **证书完整性**:确保服务器提供了完整的证书,所有证书都被上一级的CA正确签署。 4. **处理异常**:如果证书验证失败,代码可能会抛出错误,或者根据应用需求,选择继续连接但警告用户。 5. **发起请求**...
国密数字证书验证-SM2、SM3、SM4
11-22
在数字证书验证中,SM3用于计算证书证书的哈希值,以便与证书颁发机构发布的哈希值进行比对,确认证书的有效性和未被篡改。 SM4分组密码算法则是一种对称加密算法,主要用于数据的加密和解密。它采用128位的...
证书-证书校验
大力海棠的博客
02-03 8831
先来打开一个网站的证书看看: 它的结构是,顶端根证书DigiCert,中间证书GeoTrust RSA CA 2018,和最下级的服务器证书*.csdn.net。为什么会有中间证书?原因上一篇日志说过,由于权威的CA机构数量不多,如果所有的服务器申请证书都将CSR证书请求文件发送到CA机构,那么CA机构的工作量就会非常大,因此CA机构采取授权二级机构的方式来管理证书申请,经授权的二级机构也...
证书+证书的简单理解
zion--6135的博客
10-28 1850
参考:一起学加密(23)——证书是什么_哔哩哔哩_bilibili
关于证书的一点认知
hai330的博客
03-02 1175
顾名思义,证书是由一串数字证书接而成,为了弄清楚这个概念,先看看什么是数字证书。 一、数字证书的基础知识 数字证书是用来认证公钥持有者身份合法性的电子文档,以防止第三方冒充行为。数字证书CA(Certifacate Authority) 负责签发,关键内容包括 颁发s者、证书有效期、使用者组织、使用者公钥 等信息。数字证书涉及到一个名为 PKI(Public Key Infrastructure) 的规范体系,包含了数字证书格式定义、密钥生命周期管理、数字签名及验证等多项技术说明,不在这篇笔记中
数字证书原理[转载]
weixin_30343157的博客
09-26 3431
文中首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明了加密算法的作用,以及数字证书的出现所起的作用。接着对数字证书做一个详细的解释,并讨论一下windows中数字证书的管理,最后演示使用makecert生成数字证书。如果发现文中有错误的地方,或者有什么地方说得不够清楚,欢迎指出! 1、基础知识 这部分内容主要解释一些概念和术语,最好是先理解这部分内容。 ...
SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
RayPick的博客
08-25 8130
SSL 证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为服务器证书SSL 证书只有正确安装到 Web 服务器,才能实现客户端与服务器间的 https 通信。由于涉及到不同类型 Web 服务器的配置,需要证书签发后,根据实际服务器环境来安装证书CA 是一种电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。其发布的证书就是 CA 证书
什么是证书?其工作原理又是什么
安信SSL证书
03-04 5890
  证书是什么?证书是用于在公钥基础结构(PKI)的证书颁发机构(CA)之间建立信任关系。信任关系建立在根CA,中间CA和安全套接字层SSL证书之间的层次结构角色和关系。      实际上,为了识别SSL证书的信任因素,浏览器必须验证更多细节。这些详细信息不过是经过了更多审查的证书而已。该证书列表从根证书到最终浏览器,代表SSL证书。      接下来,我们将提供SSL证书的组成部分,来深刻的了解证书:      证书是由:根证书、中间证书、用户证书组成的一条完整证书信任      只有当整个
加解密,加签、验签也就这肥事
MrYushiwen的博客
12-09 4911
1.非对称加密 非对称加密技术,需要两个秘钥,公钥和私钥。公钥和私钥成对出现。 常见算法有:RSA、ECC(移动设备用)、Diffie-Hellman、El Gamal、DSA(数字签名用)等。 1.1.加密加签、解密解签完整流程 下图为本人用processon画的图: 1.2.为何只能用公钥进行加密、解签,私钥解密、加签 加签的目的:验证信息的发送方是否正确,信息是否被其他人篡改。 之所以用发送方的私钥加签,是因为,即便信息被黑客拦截,黑客修改了信息,但是加签需要用发送方的私钥,黑客没有发送方的私
电子工程师必会:证书校验与渗透测试实战
"证书校验在电子工程师和渗透测试领域的关键作用不可忽视。首先,理解证书校验的情况至关重要,由于客户端缺乏有效的验证机制,任何伪造的证书都可能被用于中间人攻击。在这种情况下,使用Burp Suite中的相应...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值