Ssl 为什么证书颁发机构(CA)从中间机构而不是根机构颁发证书?
当购买数字证书时,它通过递归地遵循“颁发者”权限链进行验证,该权限链终止于根CA的证书 对一些出售证书的公司网站的检查表明,他们的证书实际上是由同一公司的中间CA颁发的。叶证书和(可免费下载的)中间证书必须同时安装在web服务器上才能工作 各种文档解释了在中间CA与根CA是不同公司的情况下,此设置是如何工作的。但这里它们是针对同一公司的 有人知道CA会从中间CA而不是自己的根CA颁发证书的一些关键原因吗?我认为这种情况有助于各种管理场景(例如,可以将中间证书设置为在根证书之前过期),但在某种程度上我在这里猜测Ssl 为什么证书颁发机构(CA)从中间机构而不是根机构颁发证书?,ssl,certificate,ssl-certificate,x509certificate,ca,Ssl,Certificate,Ssl Certificate,X509certificate,Ca,当购买数字证书时,它通过递归地遵循“颁发者”权限链进行验证,该权限链终止于根CA的证书 对一些出售证书的公司网站的检查表明,他们的证书实际上是由同一公司的中间CA颁发的。叶证书和(可免费下载的)中间证书必须同时安装在web服务器上才能工作 各种文档解释了在中间CA与根CA是不同公司的情况下,此设置是如何工作的。但这里它们是针对同一公司的 有人知道CA会从中间CA而不是自己的根CA颁发证书的一些关键原因吗?我认为这种情况有助于各种管理场景(例如,可以将中间证书设置为在根证书之前过期),但在某种程度
谢谢这样做有几个原因
总结一下原因:更高的安全性和更好的可管理性。感谢您的评论:这正是我所希望的,并帮助我在以前没有想到的事情之间建立了一些额外的联系。我不知道是否缺少撤销根CA的方法,但我认为证书撤销列表适用于下一个级别的证书,因此在同一(顶级)级别上需要不同的机制。是的。RFC没有定义这样的机制(甚至没有给出任何想法),他们特别注意到根CA的敏感度。我不明白的是第1点——如果每条链都以根CA结尾,为什么根CA比中间CA更不可能受到损害?在链中添加额外步骤如何提高安全性?因为访问根CA的人员和应用程序非常有限。通常需要一个完整而复杂的仪式。在这种情况下,您不能提供大量已颁发的证书。这不是关于加密安全,而是关于操作实践。