Ssl 具有CA的自签名证书：TRUE，密钥用法未设置为签名证书-安全吗？_Ssl_Openssl_Self Signed_Ca

Ssl 具有CA的自签名证书：TRUE，密钥用法未设置为签名证书-安全吗？

ssl openssl

Ssl 具有CA的自签名证书：TRUE，密钥用法未设置为签名证书-安全吗？,ssl,openssl,self-signed,ca,Ssl,Openssl,Self Signed,Ca,我们有这种证书用于开发目的 X509v3 extensions: X509v3 Basic Constraints: CA:TRUE X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment X509v3 Subject Alternative Name: DNS:doma

我们有这种证书用于开发目的

        X509v3 extensions:
        X509v3 Basic Constraints: 
            CA:TRUE
        X509v3 Key Usage: 
            Digital Signature, Non Repudiation, Key Encipherment
        X509v3 Subject Alternative Name: 
            DNS:domain1.loc, DNS:domain2.loc

我在这里看到CA:TRUE，因此我不确定在OSX密钥链中安装此证书作为受信任的证书是否安全（假设几乎所有人都可以访问其私钥）。我在“密钥使用”部分没有看到证书签名，但是CA:TRUE让我有点紧张。信任此证书安全吗？

如果私钥广为人知，那么出于任何目的信任证书都是不明智的，无论证书的详细信息如何证书

关于在基本约束扩展中断言

CA:TRUE

，而在密钥使用扩展中没有断言

keyCertSign

，有这样的说法：

因此，一致性实现不会使用此证书来验证证书上的签名。然而，OS X实现的实际功能可能与RFC 5280有所不同，特别是当证书在密钥链中明确标记为受信任时。（我不使用OS X，因此无法验证）。

这意味着我相信它是CA证书，因此可以用于签署其他证书。from：“我们设置的第一个x509扩展是basicConstraints，我们为它提供了一个值CA:false，正如您可能已经猜到的，该值表示证书不能用作CA。”对于omre，关于CA:True arena。如果它是一个开发环境，并且您将其导入可信CA Store？Stack Overflow是一个用于编程和开发问题的站点，那么您应该是安全的。这个问题似乎离题了，因为它与编程或开发无关。请参见帮助中心中的。也许或者会是一个更好的提问的地方。另外，至少在一件事上，我同意弗雷瑟韦代尔的观点。如果私钥广为人知，那么信任证书是个坏主意，即使是出于开发目的。信托可能会以超出预期目的的方式对您不利。

If the keyUsage extension is present, then the subject public key
MUST NOT be used to verify signatures on certificates or CRLs unless
the corresponding keyCertSign or cRLSign bit is set.