2017-07-19 15 views
-1

私は主にSSL証明書に関連する検証チェーンを理解していると思います。しかし、私は確信しているシナリオがあります。 信頼できるCAがサーバーAの証明書に署名します。 この有効な証明書の所有者は、サーバーAの秘密/公開キーを使用して、悪質なエンティティ(サーバーB)の不正な証明書に署名します。有効なSSL証明書発行元の払い戻し証明書

クライアントが別のエンティティに接続し、悪意のあるサーバーBが途中にある場合、証明書を送り返してクライアントが本物であることを確認できませんでしたか? 信頼できるCA発行サーバ証明書(有効なもの)とサーバAサーバBを発行するために使用されたキー(Aは信頼されているため、Bは信頼されているため) )。

私は、通常のSSL証明書が他の証明書に署名するために使用することはできません

答えて

1

(答えはイエスであるようにそれはそう)別の方法で言い回し、すべての中間証明機関が信頼された証明書ストアにする必要がないと思います。署名証明書が必要です。信頼できるCAは、それが信頼しているエンティティの署名証明書にのみ署名し、その周りのチェックレベルもあります。

+0

信頼できるCAが私にCAを発行すると、私に発行されたこのCAはクライアントの信頼できるCA内にある必要がありますか? – UserWPFWindows

+1

@UserWPFWindows:まず、公開されている信頼できるCAは、あなたが何をしているのかを本当に証明できない限り、必要なインフラストラクチャを非常に安全に保ち、たくさんのお金を払う必要があります。また、この中間CAは、信頼できるCAによって署名されているため、クライアントCAストアに存在する必要はありません。チェーン証明書としてサーバーから送信する必要があります。 –