最近,我的网络主机在通过 SSL 连接时开始向我的邮件客户端发送一个没有填写任何字段的自签名根证书(所有内容都显示“未知”)。我非常确定这不是一件好事,但由于它可以正常工作,技术支持人员说这没问题。
我不是证书专家,所以我向你们求助。证书有什么用处?证书的每个字段都设置为“未知”真的没问题吗?我不经常检查证书,但我不记得曾经收到过根证书;根证书和其他类型的证书有什么区别?
答案1
值得信赖的证书颁发机构的价值在于,他们会(或应该)付出一些努力来验证他们向其颁发证书的实体的身份。当您的电子邮件程序或 Web 浏览器从 ISP 获得正确的证书时,它可以验证该证书是否由相关 CA 颁发并且对网站有效。或者作为维基百科说:
在此类方案中,CA 的职责是验证申请人的凭证,以便用户和依赖方能够信任 CA 证书中的信息。CA 使用各种标准和测试来做到这一点。本质上,证书颁发机构负责说“是的,此人就是他们所说的那个人,我们,CA,会验证这一点”。
如果用户信任 CA 并且可以验证 CA 的签名,那么他也可以验证某个公钥确实属于证书中所标识的任何人。
现在,如果您的 ISP 通过某种可信方式向您传达新的根证书并要求您导入它,然后他们总是传输根证书或链接回其根的证书,那么使用可信的第三方实际上不会给您带来太多损失。这里的主要危险是有人闯入 ISP 的证书服务器并向自己颁发一些可用于攻击的证书。
但是,如果 ISP 随机制作证书并告诉您只需点击弹出的任何警告,则可能会遇到更大的问题。考虑一下,如果有人想执行中间人攻击,他们可以编造任何随机证书并将其发送给您以代替 ISP 的证书。您没有很好的办法来判断它是真的来自您的 ISP 还是来自您的攻击者。事实上,如果您习惯于获取自签名根证书,您可能只会点击软件可能弹出的任何警告。此时,攻击者可以嗅探您的加密流量并了解您的密码或他正在寻找的其他任何信息。
你可能想看看维基百科上的文章中级证书颁发机构。