为了保证整个系统正常工作,CA 是否必须一直在线?
例如,如果我访问一个使用 CA 签名证书的安全网页,我会收到一个公钥以及网页内容。然后,当我将信息发送回服务器时,它会使用我获得的公钥进行加密,最后通过我使用他们的私钥发送的信息进行解密,一切正常。
在这一过程中,我(浏览器/应用程序)是否必须通过互联网与 CA 进行核对,以确保证书真实,或所谓的公钥确实属于该网站?或者,如果我过去信任/批准了 CA,是否不需要进行其他检查?
一般来说,为了保证整个证书/数字签名系统正常工作,CA 是否必须一直在线?
答案1
CA 无需在线。但是,CA 公共证书可能指向具有撤销列表的 Web 服务器。该服务器应在线。
大多数实现都安装了公共 CA 证书列表。即使没有公共 CA 证书,用户通常也可以选择信任证书。如果需要,Web 服务器将提供其公共证书。根据其配置,它可能将链中的一个或多个证书提供给 CA 的公共证书。这可能包括 CA 的证书。
此机制可用于基于 TLS 或旧 SSL 版本的其他协议。其他一些使用 TLS 的常见协议包括 LDAPS、STMPS 和 IMAPS。基本协议的服务器通常支持 StartTLS,其中 TLS 在正常的未加密端口上启动。
编辑:大多数 CA 通过电子邮件或网站分发证书。这些证书必须在线。签名证书无需放在连接到 Internet 的系统上。但是,避免使用 Sneakernet 并将其放在连接到 Internet 的系统上要容易得多。这样可以加快签名周转速度,减少人工干预。正如我们所见,它确实允许签名密钥被盗。
一般来说,密钥永远不需要离开使用它的系统。这适用于整个链条。重要的是保护密钥,证书必须是公开可访问的才能有用。将密钥放在安全的可移动存储上是一种选择,但并非没有风险。
拥有安全密码很有帮助,但对于颁发大量证书的证书颁发机构来说,签名脚本可能会访问密码。这使得获取密钥及其密码变得更加容易。
可以将顶级签名密钥离线保存并锁在保险库中。二级密钥可用于签署证书,其证书以链式证书的形式提供。二级密钥丢失后恢复比主签名密钥丢失后恢复更容易。