客户端访问https的服务器，服务器发过来证书是怎么确定可靠的，客户端必须预先安装根证书来验证吗，根证书过期了，要重新按装吗，这样每次上万个客户端都要升级一下，不是很麻烦吗

- 来自「最水木 for iPhone 7 Plus」
--
FROM 117.59.117.*

主要是嵌入式系统不直接用浏览器访问https服务器
【 在 hgoldfish 的大作中提到: 】
: 服务器的证书由 CA 机构认证并签名的。而 CA 机构的证书一般都会预存在浏览器里面。
:
: 国内沃通就把自己的 CA 证书给作没了。
: ....................

- 来自「最水木 for iPhone 7 Plus」
--
FROM 117.59.117.*

后半句话是但是大部分都是垃圾，不好意思
【 在 sciie 的大作中提到: 】
: RSA每次发不一样的公钥不一样吗，有破解那必要说明你非常有价值 ...
--
FROM 106.121.137.*

RSA直接加密了，他能解密吗，发证书干嘛，他随便改数，你解出来是错的扔掉啊，每次更改公钥，没那么牛X，你的东西不一定有那么大价值让人家非老牛鼻子破解，密码加密一般就用RSA，你的东西再隐私也没有密码需要保护的级别高
【 在 freyoneby 的大作中提到: 】
: 不太明白你的意思，服务器发过来每次不一样，但是这个服务器有可能不可靠，中间被人截获伪装成服务器发个他自己的证书给你，那你这次通信数据全部被他解密
: - 来自「最水木 for iPhone 7 Plus」
--
FROM 106.121.137.*

ssl api最基本的功能就是验证整个证书链是层层签发的，并且root ca是在本地信任的

在此基础上你可以额外做证书链的验证，比如说你知道你信任的cert（不是root ca）还有san之类的特征，同时别人的证书不会有。

如果你用其它root ca，你应该无条件相信root ca不会乱签发一个dns san是你拥有的域名的证书。

如果你自己有root ca，那你结合你自己root ca签发证书的规则，在你的client端用ssl api去验证证书链就好了

【 在 freyoneby 的大作中提到: 】
: 不太明白你的意思，服务器发过来每次不一样，但是这个服务器有可能不可靠，中间被人截获伪装成服务器发个他自己的证书给你，那你这次通信数据全部被他解密
: 【 在 sciie 的大作中提到: 】
: : RSA每次发不一样的公钥不一样吗，有破解那必要说明你非常有价值
: ....................

- 来自「最水木 for iPhone12,8」
--
FROM 75.31.75.*