新闻动态
新闻动态
NEWS INFORMATION

ssL预证书是什么?为什么需要预证书?

发布日期:2022-01-26 17:38 | 文章来源:互联网

【小Y 提示】本文源于互联网收集整理,不代表YINGSOO观点!若有咨询“ssL预证书是什么?为什么需要预证书?”等有关服务器、云主机租用、托管、配置、价格问题,请在线咨询YINGSOO客服,简单、便捷、高效!

【畅销推荐】美国物理服务器特价 | 美国云服务器特价 | 服务器免费试用

【常见问答】托管服务器的价格一般是多少?

ssL预证书是什么?为什么需要预证书?

ssL预证书是什么?

预验证是用作证书透明度(ct)一部分的特殊类型的ssL证书。 预先证书与常规ssL证书不同,因为它们不是(也不可以)用于验证服务器或形成经过身份验证的连接(例如Https连接)。它们的唯一目的是允许证明证书已被记录以直接嵌入到证书中。顾名思义,预认证出现在正式证书之前。而预证书几乎很少暴露给最终用户,也就是说你可能收到了预证书但从不知道它的存在。

预证书在证书透明度RFc中定义。本文将用简单的语言解释什么是预先证书,如何使用它们以及它们的工作机制。

为什么需要预证书?

预证书的存在是为了允许将证书透明度数据直接嵌入到最终证书中。

预验证是将证明提交到证书透明度日志(sct)的证书的几种方式之一。 预处理的优点是允许将ct数据嵌入ssL证书本身,而不是作为单独的数据提供(其他方法要求在握手期间将sct作为单独的文件发送,与ocsp stapling类似)。

ct日志需要能够为该证书的数据生成一个有效的签名(sct),但是cA还需要日志中的sct才能创建最终的证书。 于是需要预证书来解决这个问题,它允许日志生成正确的签名,而不需要最终的证书。

以下是需要用到预证书的场景:

1.证书颁发机构(cA)将向客户签名并颁发证书。他们需要使其符合浏览器的ct策略,因此他们需要将证书提交到ct Log。

2.cA对如何提供证书已被记录的证据有不少选择。如果他们想直接将该证明嵌入证书,他们将需要使用预认证。

3.在cA签署最终证书之前,他们首先创建一个预认证,其中包含相同的数据,但格式化为特定方式,以使其不被视为有效的ssL证书。

4.cA将预认证提交到ct日志并接收sct(签名证书时间戳)。这是一个由日志签署的文件,可用于密码证明客户端证书已被记录。

5.cA发布最终证书,sct嵌入其中。

6.终端用户可以部署他们的证书,并证明他们的证书中包含它们的ct合规性。这是包含sct的最佳方式。

当你搜索证书透明度日志时,可能会遇到预认证,但不能检查关联的(有效的)证书。 这是因为cA不需要将后续证书提交到日志。 即使预先认证不被客户视为有效,但是仍然保留相同的发行标准。 ct RFc规定,“预认证的错误被认为等于最终证书的错误”。

预证书如何运作?

预证书不同于普通证书的点在于它使用X.509 v3格式的扩展名的数据字段区。扩展为X.509格式提供了灵活性,并允许采用新功能,而不需要新版本的格式。

预证书包含一个“有毒的扩展”。是的你没看错,这个扩展有毒!之所以这么称呼它是因为该扩展十分关键还不支持客户端。如果它没有被正确解析,那么正式证书就要gg(被判无效)了。而当客户端遇上预认证,十之八九都会把它认作无效。“有毒”扩展的存在可以说是常规证书和预证书之间唯一的区别了。

毒性扩展使用一种独一无二的oid:1.3.6.1.4.1.11129.2.4.3。oid又称对象标识符,是分配给某些目的并用于提供计算机可解析格式的标准化字符串。例如,您可以查看该oid号码,并看到它已被分配了以下目的:“证书透明度预认证毒药扩展(poison extension)”。其他oid(如1.3.6.1.5.5.7.48.1)用于ssL证书中以指示该证书的ocsp URL。

举个栗子,如果你在windows中下载并打开一个预认证,它将看起来与常规ssL证书非常相似。 但是,在windows“证书查看器”的“常规”窗格中,您将注意到它将显示为“证书包含未标识为”关键“的扩展名。”在“详细信息”中,您会看到底部附近列出的毒药扩展名(查找oid)。

因为这个扩展是存在的,windows将预认证视为无效。 这样可以防止在使用ssL证书的情况下使用ssL,例如在Https连接中。 在macos上,证书查看器会说“不能使用此证书(无法识别的关键扩展)”。

在证书透明度协议(仍在开发中,RFc6962)的2.0版本中,预认证的格式将从X.509更改为cms(加密消息语法)。 这意味着预制证的技术格式和编码将会大大改变,并且将不再是与常规ssL证书相同的格式。也就是说,当部署ct 2.0时将不会再有毒药扩展,因为不需要区分预密码和有效的X.509 ssL证书。

本公司ssL证书服务上线,特推出折上折优惠活动:会员即可购买可以享受最低优惠价99元/年!

YINGSOO的海外站群服务器产品线,覆盖了美国、香港、韩国三大节点,可提供1-16C段多IP服务器,带宽及IP资源充足,极大程度上满足了您的建站需求。详询售前小姐姐(Min-微信号:YINGSOO-VIP1 / 企业QQ:3002770458)

版权声明:本站文章来源标注为YINGSOO的内容版权均为本站所有,欢迎引用、转载,请保持原文完整并注明来源及原文链接。禁止复制或仿造本网站,禁止在非www.yingsoo.com所属的服务器上建立镜像,否则将依法追究法律责任。本站部分内容来源于网友推荐、互联网收集整理而来,仅供学习参考,不代表本站立场,如有内容涉嫌侵权,请联系alex-e#qq.com处理。

实时开通

自选配置、实时开通

免备案

全球线路精选!

全天候客户服务

7x24全年不间断在线

专属顾问服务

1对1客户咨询顾问

在线
客服

在线客服:7*24小时在线

客服
热线

400-630-3752
7*24小时客服服务热线

关注
微信

关注官方微信
顶部