我一直在阅读关于SSL如何工作的技术基础知识(在外面的非技术文章/教程/视频的海洋内部很难找到)。我有3个个小题,在自己的,觉得太小,与但作为一个整体,我认为提供一些洞察到SSL作品和地址的问题似乎是如何不被很好地记录,以便混乱:SSL证书细节
为什么(不是时或如何!)SSL证书过期了吗?这些只是公用/私人密钥对在AES等密码/算法上运行。我认为这里幕后有一个财务/业务奖励?!?
多少SSL证书,并组织需要什么?你之前说“那要看你的组织”,我想这个问题的核心是:因素使公司说什么驾驶,哦,我想我们会需要另一个证书,或10以上证书,等等。换句话说:为什么是1级证书往往没有足够的组织?
为什么一个公司问CA的根证书,然后让孩子证书关闭该根?这个“证书树”提供了什么好处? (而不是仅仅获得单独的证书。)?
提前感谢!
1)为什么SSL证书过期?
当证书过期时,基本上是说这个公钥/私钥对已被放弃。从技术上讲,您仍然可以使用此证书来加密数据,但过期日期可以减轻其他事件的撤销次数。然而,另外,在X.509规范有概括为过期具体原因:
4.1.2.5 Validity
The certificate validity period is the time interval during which the
CA warrants that it will maintain information about the status of the
certificate.
的CA发布关于证书撤销状态的信息,这意味着他们需要跟踪它们。当证书到期时,CA已经为证书的期限完成了部分工作,并停止了该证书的跟踪信息。您实质上是在向CA支付费用,以授权说这个证书是有效的。
还有其他原因到期了。如果我仍然在使用2002年签署的证书(这是可能的),那么加密的级别可能不符合当今使用的标准。通过设置证书的端点,您还可以设置需要升级的日期。
当然,我认为你不能否认到期后最大的动机之一就是金钱[引文需要],但至少有一些技术和合理的想法背后。
2)组织需要多少SSL证书/哪些驱动因素帮助他们决定?
这取决于您的组织。传统的SSL证书与域名匹配。但是,任何东西都可以用密钥对(开发人员证书等)签名。所以,对于SSL,它将取决于您想保护的域的数量。对于传统的证书,www.domain.com和example.domain.com是完全不同的实体。还有其他类型的证书可以购买,如通配证书等,这取决于您的业务需求。说真的,你可以变得非常复杂或者非常简单。下面是保护网站上的一些基本的和不同类型的破败:哪些优势[有]“证书树”提供,而不是刚刚独立的证书SSL Certificate Types
3)?
你基本上是说你相信这个CA来生成证书。这就是为什么浏览器必须安装根CA才能接受证书。他们说,“我相信这个机构只会为有效和可信的来源签署证书。”
实际上,结果并非如此,因为很多CA没有严格检查他们在颁发证书前是否给予证书。并不总是,但它确实减轻了一些危险。问题在于何时CA根证书私钥遭到破坏,因为任何人都可以伪造合法证书。
希望这可以回答你的一些问题。
哇 - 很好的回答@lewisguez ! (+1)快速跟进:在#3(根证书)上,这个“证书树”(根和它的所有孩子)必须来自同一个CA吗?如果是这种情况,那么我认为这对我有意义。从这个意义上说,CA将您视为一种帐户,并在您的第一次请求中为您提供根证书。然后,当你从他们购买后续证书时,他们只是重复使用儿童证书上的密钥/加密内容到该根目录,因为你是同一个帐户。这是一个公平的评估,还是我在这里?再次感谢! – IAmYourFaja
不完全。证书过期时,您说的是此证书与此身份和此私钥之间的关联已过期。没有暗示私钥已经过期。您可以使用同一个私钥生成一个新的CSR,签名并* viola!*一个新证书。 – EJP
@EJP这是一个很好的观点,重读我的回应确实如此。当我输入它时,听起来不同了!我会编辑它,以便在我不打电话时立即反映您所说的内容。 – lewiguez
您可能也有兴趣[this](http://security.stackexchange.com/q/6737/2435)和[this](http://security.stackexchange.com/a/13690/2435) 。 (关于Security.SE上的[ssl标签](http://security.stackexchange.com/questions/tagged/ssl)上有很多问题,事实上可能是相关的。) – Bruno