Как клиент проверяет действительность сертификата?
Как клиент проверяет действительность сертификата?

Центр сертификации CA (центр сертификации) подписывает сертификат, чтобы предотвратить подделку содержимого сертификата посредниками при получении сертификата.

Процесс подписания сертификата

  • Упаковка: ЦС упаковывает открытый ключ владельца, назначение, эмитента, время действия и другую информацию, а затем выполняет расчет хеш-функции на основе этой информации для получения значения хеш-функции.
  • Подпись: затем центр сертификации шифрует значение хеш-функции своим собственным секретным ключом для создания подписи сертификата.
  • Добавить: добавить Certificate Signature Добавлен в файл Сертификата для формирования номера Сертификата.

Проверка клиента

  • Упаковка: клиент использует тот же алгоритм хэширования.,Информация о сертификате упаковки,вычисление хеша,Получить хеш-значение H1
  • Расшифровка открытого ключа: используйте открытый ключ организации ЦС для цифровой подписи сертификата H2.
  • Сравнение: почему H1 и H2 имеют одинаковое значение,тогда это заслуживает доверия Сертификат

ps. Браузеры и операционные системы обычно интегрируют информацию об открытом ключе центра сертификации.

Цепочка доверия сертификатов

Откройте сведения о сертификатах zhihu.com и baidu.com через браузер, и вы увидите их иерархию сертификатов:

Язык кода:txt
копировать
# zhihu.com
DigiCert Global Root CA
    GeoTrust CN RSA CA G1
        *.zhihu.com

# baidu.com
GlobalSign
    GlobalSign RSA OV SSL CA 2018
        baidu.com

Вместо корневого сертификата, непосредственно подписывающего сертификат доменного имени, будет использоваться промежуточный сертификат для подписи сертификата доменного имени.

Цепочка доверия сертификатов Процесс проверки:

  • Клиент получил доменное имя Сертификат и обнаружил, что эмитент Сертификата не является корневым Сертификатом. Затем клиент получает доменное имя от эмитента Сертификата. Ссылка на Сертификат, отправленная с сервера или полученная локально операционной системой/браузером.
  • Промежуточный сертификат запроса клиента,Эмитентом оказался корневой Сертификат. Затем получите открытый ключ корневого Сертификата локально из операционной системы/браузера.,Проверьте средний сертификат,Если проверка пройдена, промежуточный Сертификат заслуживает доверия.
  • После среднего Сертификат правдоподобен,Клиент получает открытый ключ промежуточного Сертификата, а затем проверяет, заслуживает ли доверие доменное имя Сертификат.

Почему структура сертификата третьего уровня более безопасна?

1. Снизьте риск подделки сертификатов.

Трехуровневая структура делит центры сертификации на корневые центры сертификации и промежуточные центры сертификации. Если злоумышленник хочет подделать сертификат, ему необходимо подделать подпись ЦС уровня 3, что значительно увеличивает сложность.

2. Лучшее управление ключами

Корневой центр сертификации отвечает за выдачу сертификатов субцентра сертификации и не выдает сертификаты сервера напрямую. Это позволяет защитить корневой ЦС с помощью более надежных ключей и ротировать ключи дочернего ЦС.

3. Отзыв сертификата стал более гибким.

Если сертификат промежуточного центра сертификации поврежден, вы можете отозвать промежуточный центр сертификации, не затрагивая другие центры сертификации в цепочке доверия, и избежать крупномасштабного отзыва сертификата.

4. Децентрализованная цепочка доверия

Различные промежуточные центры сертификации могут использовать перекрестную подпись, чтобы предотвратить повреждение одного центра сертификации и сбой всей цепочки.

5. Дифференцируйте сферу бизнеса

Различные промежуточные центры сертификации могут выдавать сертификаты для разных целей для изоляции бизнеса.

6. Лучшая масштабируемость

Новые службы сертификации можно расширить за счет добавления промежуточных центров сертификации без перенастройки доверенных корневых центров сертификации.

7. Изолируйте внутренние и внешние сетевые сертификаты.

Сертификаты интрасети могут использовать независимый промежуточный центр сертификации, отделенный от общедоступного центра сертификации, чтобы снизить риск повреждения сертификата.

boy illustration
Учебное пособие по Jetpack Compose для начинающих, базовые элементы управления и макет
boy illustration
Код js веб-страницы, фон частицы, код спецэффектов
boy illustration
【новый! Суперподробное】Полное руководство по свойствам компонентов Figma.
boy illustration
🎉Обязательно к прочтению новичкам: полное руководство по написанию мини-программ WeChat с использованием программного обеспечения Cursor.
boy illustration
[Забавный проект Docker] VoceChat — еще одно приложение для мгновенного чата (IM)! Может быть встроен в любую веб-страницу!
boy illustration
Как реализовать переход по странице в HTML (html переходит на указанную страницу)
boy illustration
Как решить проблему зависания и низкой скорости при установке зависимостей с помощью npm. Существуют ли доступные источники npm, которые могут решить эту проблему?
boy illustration
Серия From Zero to Fun: Uni-App WeChat Payment Practice WeChat авторизует вход в систему и украшает страницу заказа, создает интерфейс заказа и инициирует запрос заказа
boy illustration
Серия uni-app: uni.navigateЧтобы передать скачок значения
boy illustration
Апплет WeChat настраивает верхнюю панель навигации и адаптируется к различным моделям.
boy illustration
JS-время конвертации
boy illustration
Обеспечьте бесперебойную работу ChromeDriver 125: советы по решению проблемы chromedriver.exe не найдены
boy illustration
Поле комментария, щелчок мышью, специальные эффекты, js-код
boy illustration
Объект массива перемещения объекта JS
boy illustration
Как открыть разрешение на позиционирование апплета WeChat_Как использовать WeChat для определения местонахождения друзей
boy illustration
Я даю вам два набора из 18 простых в использовании фонов холста Power BI, так что вам больше не придется возиться с цветами!
boy illustration
Получить текущее время в js_Как динамически отображать дату и время в js
boy illustration
Вам необходимо изучить сочетания клавиш vsCode для форматирования и организации кода, чтобы вам больше не приходилось настраивать формат вручную.
boy illustration
У ChatGPT большое обновление. Всего за 45 минут пресс-конференция показывает, что OpenAI сделал еще один шаг вперед.
boy illustration
Copilot облачной разработки — упрощение разработки
boy illustration
Микросборка xChatGPT с низким кодом, создание апплета чат-бота с искусственным интеллектом за пять шагов
boy illustration
CUDA Out of Memory: идеальное решение проблемы нехватки памяти CUDA
boy illustration
Анализ кластеризации отдельных ячеек, который должен освоить каждый&MarkerгенетическийВизуализация
boy illustration
vLLM: мощный инструмент для ускорения вывода ИИ
boy illustration
CodeGeeX: мощный инструмент генерации кода искусственного интеллекта, который можно использовать бесплатно в дополнение к второму пилоту.
boy illustration
Машинное обучение Реальный бой LightGBM + настройка параметров случайного поиска: точность 96,67%
boy illustration
Бесшовная интеграция, мгновенный интеллект [1]: платформа больших моделей Dify-LLM, интеграция без кодирования и встраивание в сторонние системы, более 42 тысяч звезд, чтобы стать свидетелями эксклюзивных интеллектуальных решений.
boy illustration
LM Studio для создания локальных больших моделей
boy illustration
Как определить количество слоев и нейронов скрытых слоев нейронной сети?
boy illustration
[Отслеживание целей] Подробное объяснение ByteTrack и детали кода