我通常使用自签名证书,但是现在我需要一个绝对低成本的合适的证书。
由于创建“证书颁发机构”makecert实际上只是意味着创建公钥/私钥对,因此很明显,从这样的“证书颁发机构”创建公钥/私钥对实际上只是意味着生成第二个公钥/私钥对,并使用属于“证书颁发机构”的私钥对这两个密钥进行签名。由于密钥已签名,因此任何人都可以验证它们来自我创建的证书颁发机构,或者如果 Verisign 给了我这对密钥,他们会用自己的一个私钥对其进行签名,任何人都可以使用 Verisign 的相应公钥来确认 Verisign 是密钥的来源。
鉴于此,我不明白为什么 Verisign 或 Godaddy 只提供年度计划的费率,而我真正想要的只是一个用他们的一个私钥签名的公钥/私钥对。
显然我误解了一些东西,那是什么?Verisign 是否会定期停用其公钥/私钥对,以便我的 Verisign 签名密钥对“过期”并且我需要新的密钥对?
编辑:我了解到该证书有一个内部到期日期,并且还维护一个内部值,表明它是否可用于签署其他证书(即签署作为证书存储的其他私钥/公钥对)。我能否获得一些(甚至一个)由 Verisign 等公司签署的非签名证书,以便在无需年度订阅的情况下用于身份验证/加密?
答案1
答案2
证书必须有有效期,因为密钥管理是良好加密实践的一部分。虽然您的私钥今天是安全的,但它可能会在明天的某些数据安全漏洞中被泄露 - 您使用密钥的时间越长,它最终被泄露的可能性就越大。
如果存在一个无时间限制的证书,指定了被泄露的密钥,那么有人可以使用该证书和被泄露的密钥冒充你永远有了到期机制,他们只能在证书到期前完成这一操作。
答案3
完成初始流程后,年费允许您随时重新颁发和更新证书。您的证书不会随着订阅的到期而自动过期;例如,即使是我们的年度订阅,我们的证书也有两年的有效期(而它们所基于的根证书的有效期则更接近 10 年)。您可以使用它签署自己的证书,只要它们是用当时有效的证书签署的,它们就会一直有效。根据我的经验,浏览器和其他 SSL 客户端很少执行扩展证书链验证。
证书公司会让证书过期,部分原因是为了迫使您跟上 SSL 安全的发展(例如,从 512 位升级到 2048 位,或者从 RSA 升级到 EC);部分原因是为了保护您和其他人,以防您的某个证书泄露或在您认为它已经消失很久之后被保存并破解;部分原因是为了时不时地重新审查您,以防您更改名称、破产或发生其他情况。这是他们信任链的一部分。如果他们早点发现,他们可以立即颁发 CRL,但如果没有,您的旧证书将自然过期,无需额外努力。
这也是一种收入来源,这就是生意。
如果您想成为自己的 CA,请确保您获得证书签名证书,并且做好在使用链中的所有证书捆绑在一起时遇到一些麻烦的准备。
答案4
根据签名机构的不同,验证可能非常广泛(因此对机构来说成本很高)。这将增加证书的成本。通常,证书的成本将随验证的级别而变化。新技术允许通过地址栏中的彩色通知反映信任程度。
证书颁发机构的证书通常每十年左右会过期一次。这段时间需要将证书部署到浏览器的证书缓存中,因此前一两年它们可能用不到。后一两年它们将毫无用处,因为签名密钥会在签名密钥过期之前过期。
通过签署您的密钥,证书颁发机构实际上是在说我们信任此证书的持有者,因此您也可以信任他们。他们应该定期验证这种信任,因此证书过期的原因之一。
如果提供并检查了 CRL,则签名机构可以宣布他们不再信任密钥持有者。这种情况可能出于多种原因:密钥被盗、密钥颁发不当、密钥不再使用或其他原因。证书过期可用于减少 CRL 数据库的大小。
一些签署机构会颁发多年期证书。这可能仅适用于续订证书。
一旦开始使用证书,您就必须承诺维护相关的信任关系。这将包括定期部署更新证书。