请教个证书问题？

水木社区手机版

主题:请教个证书问题？
7楼|lambdai|2022-01-12 12:37:50|展开
一般来说，如果你们的infra没有好的分发根root ca的能力，就不要用自己的root ca了，用二级证书就好了

不用浏览器的话，建议你直接说是ssl服务器，这样我们也知道你能直接使用ssl api
【在 freyoneby 的大作中提到: 】
: 客户端访问https的服务器，服务器发过来证书是怎么确定可靠的，客户端必须预先安装根证书来验证吗，根证书过期了，要重新按装吗，这样每次上万个客户端都要升级一下，不是很麻烦吗
:

- 来自「最水木 for iPhone12,8」
--
FROM 75.31.75.*
8楼|lambdai|2022-01-12 12:51:42|展开
ssl api最基本的功能就是验证整个证书链是层层签发的，并且root ca是在本地信任的

在此基础上你可以额外做证书链的验证，比如说你知道你信任的cert（不是root ca）还有san之类的特征，同时别人的证书不会有。

如果你用其它root ca，你应该无条件相信root ca不会乱签发一个dns san是你拥有的域名的证书。

如果你自己有root ca，那你结合你自己root ca签发证书的规则，在你的client端用ssl api去验证证书链就好了

【在 freyoneby 的大作中提到: 】
: 不太明白你的意思，服务器发过来每次不一样，但是这个服务器有可能不可靠，中间被人截获伪装成服务器发个他自己的证书给你，那你这次通信数据全部被他解密
: 【在 sciie 的大作中提到: 】
: : RSA每次发不一样的公钥不一样吗，有破解那必要说明你非常有价值
: ....................

- 来自「最水木 for iPhone12,8」
--
FROM 75.31.75.*