我需要向客户端发送 SSL 证书请求(来自 IIS 6.0)
他们要求仅使用 Winzip 之类的应用程序以加密形式发送。
我的问题是,这真的是个问题吗?
我对证书的基本理解是,请求中不包含任何可帮助黑客获取最终证书的信息。
我完全错了吗?
答案1
CSR 仅包含公钥以及有关证书的一些额外信息。实际上,其中没有任何秘密。
问题反而是完整性保护:他们如何确定他们签署的 CSR 是正确的,并且它在传输过程中没有被篡改。中间人很容易就能窃取您的 CSR,并将其替换为 MITM 可以控制密钥的 CSR。
因此,CSR 的传输必须以某种方式进行完整性保护。加密容器格式以及(加密)哈希函数或数字签名是提供完整性保护的一种方法。