卡瓦邦噶!
·
有关 TLS/SSL 证书的一切
💡
原文中文,约17200字,阅读约需41分钟。
📝
内容提要
TLS握手中服务器证明身份,证书解决身份验证问题,证书机构签发,客户端信任,验证有效性,客户端证书固定限制范围,保护私钥和更新证书,吊销证书和HTTP公钥固定增强安全性。
🎯
关键要点
- TLS握手中,服务器需要向客户端证明身份。
- 证书是TLS/SSL的重要组成部分,用于身份验证。
- 证书由证书机构(CA)签发,客户端信任CA的证书。
- 证书的作用是确保只有持有证书的人才能声称是特定网站。
- CA需要验证申请者的身份,确保其拥有域名的控制权。
- CA必须保护自己的私钥,防止泄露。
- 客户端通过构建信任链来验证证书的有效性。
- 客户端信任的根证书存储在本地,建立信任需要时间。
- Let’s Encrypt是一个提供免费证书的CA,简化了证书申请过程。
- 客户端验证证书时需要检查证书的有效期和签名。
- 证书过期是网站常见的问题,网站需定期更新证书。
- 私钥的保护至关重要,泄露会导致安全问题。
- 吊销已签发的证书可以通过CRL或OCSP实现。
- HTTP公钥固定(HPKP)可以增强网站的安全性,防止伪造证书。
➡️
