0
我并不完全了解在高度安全的SSL连接建立(避免中间人攻击)中证书锁定的必要性。为什么需要SSL证书锁定?
SSL证书钉扎需要主机验证与由服务器提供的一个嵌入原有的服务器证书。嵌入在主机中的服务器证书和服务器提供的服务器证书之间有什么区别,以便客户端进行验证?
是什么,我在这里失踪?
A
回答
2
嵌入主机的服务器证书与服务器提供的服务器证书之间的区别是什么?
应该没有,这正是证书锁定的要点。
没有证书通常钉扎的应用程序接受它匹配请求主机名和由本地信任的CA(证书颁发机构)颁发的证书。鉴于通常有100多家CA在本地信任存储就足够了其中一个在2011年得到了成功的攻击为在the case of DigiNotar因此,它是有道理的限制要接受一个特定的证书,即钉扎。
除了证书由证书比较牵制与本地存储的证书收到有钉扎的其他方式:例如一个可能只是核对指纹(哈希值),而不是整个证书。如果证书可以过期,则仅检查公钥而非整个证书可能更有用,因为公钥通常保持在证书更新期间。或者有人可能会针对某个被认为可信的CA颁发该域的证书。
注意了解牵制,您可能需要了解服务器的身份验证是如何工作的。其中一部分是验证服务器证书(主机名,到期,信任链...)。但这是不够的,因为证书本身是公开的,即每个人都可以得到它并可以在TLS握手中发送它。因此,认证的另一个主要部分是服务器证明它是证书的所有者。这是通过使用与证书匹配的私钥签署一些数据来完成的。由于只有证书的所有者应该拥有私钥才能证明所有权。由于这个原因,任何人都可以嵌入服务器证书进行固定,但只有服务器本身才能证明证书的所有权。
相关问题
- 1. 需要SSL证书和接受SSL证书有什么区别?
- 2. 我需要什么SSL证书?
- 3. 需要帮助了解我什么时候需要SSL证书
- 4. 禁用SSL证书锁定
- 5. SSL客户端 - 什么时候需要证书?
- 6. 除证书之外,我还需要什么SSL?
- 7. 我的证书需要什么才能在.NET中使用SSL?
- 8. 为什么它撤销了SSL证书?
- 9. 为什么读/写锁需要锁?
- 10. ssl设置需要证书和开发
- 11. 需要SSL证书的Nodejs/Socketio级别
- 12. Docusign连接,需要购买SSL证书?
- 13. 代码签名需要什么证书?
- 14. 更新SSL证书是否需要重新颁发证书?
- 15. 当推出APNS通用客户端SSL证书时,为什么Pushkit需要单独的Voip证书?
- 16. 需要IIS中的客户端证书而不需要SSL
- 17. 为什么我的网站需要SSL?
- 18. 使用SSL需要什么?
- 19. GAE SSL证书要求
- 20. PHP SSL证书摘要
- 21. 为什么这里需要一个锁?
- 22. IIS - 需要特定MVC控制器的SSL客户端证书
- 23. 需要在IntentService中唤醒锁定:为什么要通过WakefulBroadcastReceiver?
- 24. 我需要为Python w/SSL-socket连接分发(密钥,证书)?
- 25. SSL证书有什么意义?
- 26. 我需要什么开发或生产在APNs推送SSL证书?
- 27. “每个SSL证书需要专用IP”究竟意味着什么?
- 28. 为什么OpenSSL的PKCS7_verify()需要“smimesign”证书目的?
- 29. 为什么我需要-CApath for OpenSSL来使用我的证书?
- 30. 为什么我们需要安装数字证书?