移动ssl 证书商城

提供多种ssl 证书类型 销售知名ssl 证书品牌产品

什么是ssl预验证证书? 为何需要ssl预验证证书?

《什么是ssl预验证证书? 为何需要ssl预验证证书?》

预验证是证书清晰度(CT)一部分的专项计划的SSL证书。 事先证书与基本ssl证书不一样,由于他们并不是(也不能)用以认证网络服务器或产生历经真人实名认证的联接(比如HTTPS联接)。他们的唯一目地是容许证明材料证书已被纪录以立即置入到证书中。说白了,预验证出現在宣布证书以前。而预验证证书基本上非常少曝露给终端用户,除此之外你将会接到了ssl预验证证书但从来不了解它的存有。

ssl预验证证书在证书清晰度RFC中界定。文中将用简易的言语表述什么叫事先证书,怎么使用他们及其他们的工作方案。

为何需要ssl预验证证书?

ssl预验证证书的存有是以便容许将证书清晰度统计数据立即置入到证书中。

预验证是将证明材料递交到证书清晰度系统日志(SCT)的证书的几类方法之一。 预备处理的优势是容许将CT统计数据置入ssl证书自身,而并不是做为独立的统计数据提供(别的方式规定在挥手期内将SCT做为独立的文档发送到,与OCSP Stapling相近)。

CT系统日志必须可以为该证书的统计数据转化成一个合理的个人签名(SCT),可是CA还必须系统日志中的SCT才可以建立最后的证书。 因此必须要ssl预验证证书来处理这一难题,它容许系统日志转化成恰当的个人签名,而不用最后的证书。

下列是必须采用预验证证书的情景:

  • 证书授予组织(CA)将向顾客个人签名并授予证书。她们必须使其合乎电脑浏览器的CT对策,因而她们必须将证书递交到CT Log。
  • CA对怎样提供证书已被纪录的直接证据有许多挑选。假如她们想立即将该证明材料置入证书,她们将必须应用预验证。
  • 在CA签订最后证书以前,她们最先建立一个ssl预验证证书,在其中包括同样的统计数据,但备份为特殊方法,令其不被称作合理的ssl证书。
  • CA将ssl预验证递交到CT系统日志并接受SCT(个人签名证书时间戳)。它是一个由系统日志签订的文档,可用以登陆密码证明材料客户端证书已被纪录。
  • CA公布最后证书,SCT置入在其中。
  • 终端产品能够布署她们的证书,并证明材料她们的证书中包括他们的CT合规。它是包括SCT的最好方法。

如果你检索证书清晰度系统日志时,将会会碰到预验证,但不可以查验关系的(合理的)证书。 这由于CA不用将事后证书递交到系统日志。 即便事先验证不被顾客视作合理,可是依然保存同样的出版规范。 CT RFC要求,“预验证的不正确被觉得相当于最后证书的不正确”。

ssl预验证证书怎样运行?

ssl预验证证书有别于一般证书的点取决于它应用X.509 v3文件格式的扩展名的数据字段区。拓展为X.509文件格式提供了协调能力,并容许选用新作用,而不用最新版本的文件格式。

预验证证书包括一个“有害的拓展”。是的你没弄错,这一拓展有害!往往那么叫法它由于该拓展十分重要还不兼容手机客户端。假如它沒有被恰当分析,那麼宣布证书还要GG(判刑没用)了。而当手机客户端遇到预验证,十之八九都是把它认作没用。“有害”拓展的存有能够说成基本证书和预验证证书中间唯一的差别了。

由于这一拓展是存有的,Windows将预验证视作没用。 那样能够避免在应用SSL证书的状况下应用SSL,比如在HTTPS联接中。 在macOS上,证书查看器要说“不可以应用此证书(没法鉴别的重要拓展)”。

在证书清晰度协议书(仍在开发设计中,RFC6962)的2.0版本号中,预验证的文件格式将从X.509更改成CMS(数据加密信息英语的语法)。 这代表预制构件证的技术性文件格式和编号将会大大的更改,而且将已不是与基本SSL证书同样的文件格式。除此之外,当布署CT 2.0时将不容易还有慢性毒药拓展,由于不用区别预登陆密码和合理的X.509 SSL证书。

点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注