答案1
为了使用 SSL/TLS,您需要证书颁发机构根证书。这是您的计算机能够看到 SSL 证书是否真正有效的方式。这是系统安全的关键,SSL“信任之网”并保护您的银行账户凭证免遭恶意攻击者的侵害。
任何人都可以创建 SSL 证书并对其进行签名。他们可以为任何域执行此操作。证书颁发机构的作用是确保仅为请求实体拥有的域创建证书。google.com
除非证书是由受信任的证书颁发机构(而不是由生成随机证书的人)签名的,否则您的计算机不会接受该证书。
您必须从某个地方开始信任。大多数人允许他们的操作系统确定证书,因为他们知道这些证书是由聪明人管理的。在某些情况下,您可能希望删除其中一些证书,但这对您来说可能不是一个好主意。
证书颁发机构应遵循最佳实践,例如冷存储用于创建中间证书的根证书。这意味着根证书被盗用的可能性会降低,同时允许系统/人员使用中间证书为客户生成证书等。这一点很重要,因为它允许对根证书建立长期的信任,同时允许以实用的方式提供客户证书。
有人问了类似的问题,这个包裹的用途/目的是什么ca-certificates
?。 还,让我们加密近期有一家公司使用已签名的中级证书,很快(2019 年 4 月)将依靠其‘ISRG 根证书’,已被许多主流操作系统采用。关注 Let's Encrypt 的故事可能会给你更多的见解和一个实际的例子。