Web 服务器是否将证书链发送到 Web 客户端？

Question 1

certificate_list
这是证书序列（链）。发送者的证书必须位于列表的首位。每个后续证书必须直接认证其前一个证书。由于证书验证要求独立分发根密钥，因此可以从链中省略指定根证书颁发机构的自签名证书，前提是远程端必须已经拥有该证书才能在任何情况下对其进行验证。

解释得很好。服务器是否真的这样做取决于系统管理员的配置方式。许多配置不当的服务器没有执行上述操作，因为许多客户端可以使用 AIA 扩展中提供的 URL 获取其 CA 证书。

许多客户端还会缓存它们收到/下载的证书，以减轻每次链式构建时获取证书的负担。Windows 上的 Chrome 使用 Microsoft 的 CAPI 来管理其证书（与 IE 相同），它会缓存证书。Linux/OSX 上的 Chrome 使用 Mozilla 的 NSS 来管理其证书，它也会缓存证书。因此，如果您在线使用您的网站，则所有高级 CA 证书都可能缓存在您的系统上，并且“离线”将起作用（至少在一段时间内）。

但是，一些 CA 使用 OCSP 进行撤销检查。如果您处于离线状态，则 OCSP 客户端无法联系 OCSP 响应器以获取撤销信息。在这种情况下会发生什么取决于您的客户端软件的配置。默认情况下，大多数浏览器都会“软失败” - 即它们忽略无法联系 OCSP 响应器的事实并假设一切正常。有些可以配置为“硬失败”，如果无法联系 OCSP 响应器，它们将无法通过撤销检查。

Answer

如果你读RFC 5246 第 7.4.2 章你会发现：

certificate_list
这是证书序列（链）。发送者的证书必须位于列表的首位。每个后续证书必须直接认证其前一个证书。由于证书验证要求独立分发根密钥，因此可以从链中省略指定根证书颁发机构的自签名证书，前提是远程端必须已经拥有该证书才能在任何情况下对其进行验证。

解释得很好。服务器是否真的这样做取决于系统管理员的配置方式。许多配置不当的服务器没有执行上述操作，因为许多客户端可以使用 AIA 扩展中提供的 URL 获取其 CA 证书。

许多客户端还会缓存它们收到/下载的证书，以减轻每次链式构建时获取证书的负担。Windows 上的 Chrome 使用 Microsoft 的 CAPI 来管理其证书（与 IE 相同），它会缓存证书。Linux/OSX 上的 Chrome 使用 Mozilla 的 NSS 来管理其证书，它也会缓存证书。因此，如果您在线使用您的网站，则所有高级 CA 证书都可能缓存在您的系统上，并且“离线”将起作用（至少在一段时间内）。

但是，一些 CA 使用 OCSP 进行撤销检查。如果您处于离线状态，则 OCSP 客户端无法联系 OCSP 响应器以获取撤销信息。在这种情况下会发生什么取决于您的客户端软件的配置。默认情况下，大多数浏览器都会“软失败” - 即它们忽略无法联系 OCSP 响应器的事实并假设一切正常。有些可以配置为“硬失败”，如果无法联系 OCSP 响应器，它们将无法通过撤销检查。

Question 2

当然，您的服务器发送的内容取决于您如何配置它。

它将发送SSL证书链文件文件（如果已配置）和你的SSL证书文件。

这些不需要 CA 根证书但可能应该包括中间证书以允许客户端建立信任链。

我不知道离线情况下会发生什么，但当你离线时，你无论如何都无法使用我的生产服务，所以这不是我费心调查的问题。请自己测试一下。

Answer

当然，您的服务器发送的内容取决于您如何配置它。

它将发送SSL证书链文件文件（如果已配置）和你的SSL证书文件。

这些不需要 CA 根证书但可能应该包括中间证书以允许客户端建立信任链。

我不知道离线情况下会发生什么，但当你离线时，你无论如何都无法使用我的生产服务，所以这不是我费心调查的问题。请自己测试一下。

Web 服务器是否将证书链发送到 Web 客户端？

答案1

答案2

相关内容