证书链是什么?证书链有什么用
证书链是什么?
在大多数情况下,仅仅有最终实体证书是无法进行有效性验证的,所以在实践中,服务器需要提供证书链才能一步步地最终验证到可信根证书,证书链的使用可能出于安全、技术和管理等方面的原因。
证书链有什么用?
1、保证根证书安全
根CA不仅对拥有它的组织很重要,对整个生态来说同样至关重要。首先是它有巨大的经济价值,因为很多根证书库已经不再更新了,所以以前那些已经被广泛使用的根CA是不可替代的。再者,如果根CA的私钥被泄露,那么就可以签发任意域名的虚假证书。另外如果根CA会被吊销掉,所有使用这个CA签发出来的证书的网站都会无法访问。
现在仍然还有很多CA直接使用他们的根证书直接签发最终实体证书,这其实是非常危险的。 Baseline Requirements 限制所有的根证书密钥只能由人手动执行命令(自动化是不允许的),也就是说根证书密钾必须离线保存。虽然还有很多依旧在使用的旧系统有这个漏洞,但是直接由根证书签发最终实体证书是不允许的。
2、交叉证书
交叉证书是可以让新的CA立即投入运营的唯一方式。因为想要在短期内让新的根证书部署得足够广泛是不可能的,所以新的CA都会找已经进行广泛内置的CA对他们的根密钥进行签名。随着时间的流逝,那些老的设备会逐渐淘汰掉,新的CA才能最终独立使用。
3、划分
CA在将它的操作分散给很多二级CA的同时有可能会带来更多的风险。例如不同的二级CA用于签发不同的证书类型,或者由不同的业务部门使用。与根证书不同的是,二级CA般都是在线的,而且使用自动化系统签发证书。
4.、委派
还有一些情况是CA希望给外部其他组织签发一个二级CA。例如一家大的公司可能希望可以自己签发它所拥有的那些域名的证书(这种方式通常比去维护私有CA,并确保所有设备都内置这个CA来说成本更低)。有时候一些组织希望能够完全保管这个二级CA,这时候CA就会从技术上限制这个二级CA只能签发某些域名:其他情况下CA依旧可以控制二级CA签发出来的证书。
证书链相关介绍:
服务器一次只能提供一条证书链,而实际上可能存在多条可信路径。以交叉证书为例,一条可信路径可以一直到CA的主要根证书,另外一条则是到可选根证书上。CA有时候会为同样的密钥签发多张证书,例如现在最常使用的签名算法是SHA1,因为安全原因正在逐步迁移到SHA256,CA可以使用同样的密钥签发出不同签名的新证书。如果信赖方恰好有两张这样的证书、那么就可以构建出两条不同的可信路径。
路径的建立让整个事情变复杂了,而且导致了很多问题。服务器必须提供完整并且有效的证书链,但是因为人员的藏忽或者各种各样的配置问题,导致证书链的配置总是有问题(例如需要在不同的地方配置服务器证书和证书链剩余的部分)根据 SSL Pulse 的数据,大概有5.9%的服务器配置的证书链是不完整的。
另外,因为标准的模糊、不完整以及相互矛盾,客户端在建立和验证路径上不可避免地出现了很多安全问题。
