本月我一直在尝试为两个新网站购买 SSL 证书,而我常用的提供商 (RapidSSL/GeoTrust) 以前是单根证书,现在拥有中级 CA 证书。几家经销商的客户服务告诉我,Geotrust 不再对其任何证书提供单根证书,而且大多数证书供应商的网站都没有关于哪些是单根证书、哪些不是单根证书的明确信息。
有人知道你是否还能获得单根证书吗?链式证书处理起来非常麻烦。
答案1
我不知道还有谁会颁发根证书。问题是他们担心如果根颁发大量众所周知的证书,可能会发现漏洞,让攻击者能够破解根证书。
这是高度不太可能,但是通过使用中间体,并每年左右轮换一次,他们基本上消除了这种可能性。
使用链式证书通常不会那么糟糕,除非软件编写得很差。