全新安装的 Ubuntu 上的这些 SSL 证书是什么？

Question

为了使用 SSL/TLS，您需要证书颁发机构根证书。这是您的计算机能够看到 SSL 证书是否真正有效的方式。这是系统安全的关键，SSL“信任之网”并保护您的银行账户凭证免遭恶意攻击者的侵害。

任何人都可以创建 SSL 证书并对其进行签名。他们可以为任何域执行此操作。证书颁发机构的作用是确保仅为请求实体拥有的域创建证书。google.com除非证书是由受信任的证书颁发机构（而不是由生成随机证书的人）签名的，否则您的计算机不会接受该证书。

您必须从某个地方开始信任。大多数人允许他们的操作系统确定证书，因为他们知道这些证书是由聪明人管理的。在某些情况下，您可能希望删除其中一些证书，但这对您来说可能不是一个好主意。

证书颁发机构应遵循最佳实践，例如冷存储用于创建中间证书的根证书。这意味着根证书被盗用的可能性会降低，同时允许系统/人员使用中间证书为客户生成证书等。这一点很重要，因为它允许对根证书建立长期的信任，同时允许以实用的方式提供客户证书。

有人问了类似的问题，这个包裹的用途/目的是什么ca-certificates？。还，让我们加密近期有一家公司使用已签名的中级证书，很快（2019 年 4 月）将依靠其‘ISRG 根证书’，已被许多主流操作系统采用。关注 Let's Encrypt 的故事可能会给你更多的见解和一个实际的例子。

Answer 1

为了使用 SSL/TLS，您需要证书颁发机构根证书。这是您的计算机能够看到 SSL 证书是否真正有效的方式。这是系统安全的关键，SSL“信任之网”并保护您的银行账户凭证免遭恶意攻击者的侵害。

任何人都可以创建 SSL 证书并对其进行签名。他们可以为任何域执行此操作。证书颁发机构的作用是确保仅为请求实体拥有的域创建证书。google.com除非证书是由受信任的证书颁发机构（而不是由生成随机证书的人）签名的，否则您的计算机不会接受该证书。

您必须从某个地方开始信任。大多数人允许他们的操作系统确定证书，因为他们知道这些证书是由聪明人管理的。在某些情况下，您可能希望删除其中一些证书，但这对您来说可能不是一个好主意。

证书颁发机构应遵循最佳实践，例如冷存储用于创建中间证书的根证书。这意味着根证书被盗用的可能性会降低，同时允许系统/人员使用中间证书为客户生成证书等。这一点很重要，因为它允许对根证书建立长期的信任，同时允许以实用的方式提供客户证书。

有人问了类似的问题，这个包裹的用途/目的是什么ca-certificates？。还，让我们加密近期有一家公司使用已签名的中级证书，很快（2019 年 4 月）将依靠其‘ISRG 根证书’，已被许多主流操作系统采用。关注 Let's Encrypt 的故事可能会给你更多的见解和一个实际的例子。

相关内容