Cryptography 通过仅信任部分证书来信任证书
假设我有Alice的证书,它的证书链由N个证书组成。验证(并信任)链的根(例如,VeriSign)就足够了,还是我必须信任(并验证)每个证书Cryptography 通过仅信任部分证书来信任证书,cryptography,certificate,public-key-encryption,pki,Cryptography,Certificate,Public Key Encryption,Pki,假设我有Alice的证书,它的证书链由N个证书组成。验证(并信任)链的根(例如,VeriSign)就足够了,还是我必须信任(并验证)每个证书 根据我的理解,我需要信任和时间验证链证书的根,并且只时间验证链中的所有其他证书。我说的对吗?您必须对链中的每个证书执行验证,以及更多-您需要使用CRL和OCSP服务器(当证书中有相应的信息时),并且在签署CRL和OCSP响应时,您需要在那里构建证书链,并验证所有证书链。谢谢您的回答!:-)但为什么不花时间验证和检查CRL中的所有证书,并完全验证根?@TCS
根据我的理解,我需要信任和时间验证链证书的根,并且只时间验证链中的所有其他证书。我说的对吗?您必须对链中的每个证书执行验证,以及更多-您需要使用CRL和OCSP服务器(当证书中有相应的信息时),并且在签署CRL和OCSP响应时,您需要在那里构建证书链,并验证所有证书链。谢谢您的回答!:-)但为什么不花时间验证和检查CRL中的所有证书,并完全验证根?@TCS实际上根是可信的(您无法验证它,因为除了排他信任之外,您没有锚——根是自签名的)。其他证书可以被吊销,因此您需要检查其有效性/吊销状态。当然,您还需要检查每个证书的签名完整性。现在,证书是为特定目的(使用)而颁发的,必须检查KeyUsage/ExtKeyUsage字段,以确保代码签名证书不用于SSL,反之亦然(例如)。