Security

為什麼 Web 伺服器的公鑰證書必須由證書頒發機構簽名?

  • January 15, 2010

換句話說,不由證書頒發機構簽署公鑰證書的安全風險是什麼(從使用者的角度來看)?我的意思是,數據仍然是加密的……中間的人可以用非簽名證書做什麼?

與 HTTP 一起使用 SSL 的目的不僅是加密流量,還驗證網站所有者是誰,以及有人願意投入時間和金錢來證明其域的真實性和所有權。

這就像購買一種關係,而不僅僅是加密,這種關係會灌輸或假設一定程度的信任。

也就是說,幾個月前我問了一個類似的問題,得到的基本答案是“SSL 有點像騙局”

想像一下這樣一種情況,您要向一個名叫約翰史密斯的人提供 1,000,000 美元,而您從未見過或交流過。你被告知你可以在擁擠的公共場所見到他。當你去見他時,你需要某種方式來確保他確實是你要找的人,而不是其他自稱是 John Smith 的隨機人。你可能會要求一些政府身份證,一張名片。你可以請一個你信任的人,他實際上見過約翰·史密斯,以幫助辨識他。

自簽名證書唯一地標識了一個系統,但它不做任何事情來證明該系統就是它聲稱的那個系統。我可以輕鬆地自簽名證書並聲稱自己是 serverfault.com、google.com 或 yourbank.com。證書頒發機構基本上充當客戶端信任的第三方,以驗證證書實際上對站點聲稱擁有的名稱有效。

引用自:https://serverfault.com/questions/102948