我一直在阅读x.509证书,我只是不知道整个过程是如何工作的。
所以这就是我的理解:CA是一家生产证书的公司。想要使用其中一个的人,如银行网站,联系CA并购买包含公钥的证书,以对网站的消息进行编码,该消息只能由网站私钥解码。
这是我感到困惑的地方 - 用户(某些网络浏览器)如何检查它收到的证书是否真的是真的来自正确的网站?怎么知道它仍然有效?进行了哪些检查以确保一切正常?
CA不仅签署服务器(银行网站)的证书,而且还有自己的证书(由CA签署的证书由CA签署)根CA.根CA将其证书提供给浏览器供应商,该供应商将其包含在其受信任的根证书集中。
整个事情建立在“信任链”的概念之上:签署证书意味着“如果您信任我(根或中间CA),那么您可以信任他(中间CA或服务器)”。您的浏览器只需要信任根CA(它有证书)就可以找出它是否可以信任服务器(银行网站)。见https://en.wikipedia.org/wiki/Chain_of_trust
证书可能无效,例如由于安全漏洞(例如私钥被盗)。向CA提供此类事件,公开提供此信息。浏览器可以通过证书吊销列表(CRL)或在线证书状态协议(OCSP)访问此信息。浏览器的配置方式应使其不接受无法验证的证书仍然有效。见https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol