我知道 Root CA 软件包在不同的操作系统/浏览器/应用程序之间有所不同。不过,似乎 Verisign 总是包含在内。
怎么会这样?有什么标准吗?
我只是很好奇,因为 SSL 最近在我工作的地方已经成为一个热门话题。
答案1
没有一套标准的证书颁发机构,并且可信颁发机构列表可能因应用程序而异。 Linux 每周新闻去年八月有一篇关于此问题的有趣文章。
答案2
Verisign 拥有非常庞大的客户群,并且已经存在了很长时间。省略它会给很大一部分网站带来问题。这会给用户带来问题,从而导致他们改用其他工具。
大多数工具都允许您检查信任链,这样您就可以验证如果 Verisign 不在 CA 包中,您的体验会是怎样的。我有时会清理那些我不太可能信任的 CA 包,但总是保留 Verisign。
某些工具(例如 VPN)允许用户指定自己的受信任机构。使用私有 CA 可以大大简化信任关系。