預驗證是用作證書透明度(ct)一部分的特殊型別的ssl證書。 預先證書與常規ssl證書不同,因為它們不是(也不可以)用於驗證伺服器或形成經過身份驗證的連線(例如https連線)。它們的唯一目的是允許證明證書已被記錄以直接嵌入到證書中。顧名思義,預認證出現在正式證書之前。而預證書幾乎很少暴露給終端使用者,也就是說你可能收到了預證書但從不知道它的存在。
預證書在證書透明度rfc中定義。本文將用簡單的語言解釋什麼是預先證書,如何使用它們以及它們的工作機制。
預證書的存在是為了允許將證書透明度資料直接嵌入到最終證書中。
預驗證是將證明提交到證書透明度日誌(sct)的證書的幾種方式之一。 預處理的優點是允許將ct資料嵌入ssl證書本身,而不是作為單獨的資料提供(其他方法要求在握手期間將sct作為單獨的檔案傳送,與ocsp stapling類似)。
ct日誌需要能夠為該證書的資料生成乙個有效的簽名(sct),但是ca還需要日誌中的sct才能建立最終的證書。 於是需要預證書來解決這個問題,它允許日誌生成正確的簽名,而不需要最終的證書。
以下是需要用到預證書的場景:
當你搜尋證書透明度日誌時,可能會遇到預認證,但不能檢查關聯的(有效的)證書。 這是因為ca不需要將後續證書提交到日誌。 即使預先認證不被客戶視為有效,但是仍然保留相同的發行標準。 ct rfc規定,「預認證的錯誤被認為等於最終證書的錯誤」。
預證書不同於普通證書的點在於它使用x.509 v3格式的副檔名的資料字段區。擴充套件為x.509格式提供了靈活性,並允許採用新功能,而不需要新版本的格式。
預證書包含乙個「有毒的擴充套件」。是的你沒看錯,這個擴充套件有毒!之所以這麼稱呼它是因為該擴充套件十分關鍵還不支援客戶端。如果它沒有被正確解析,那麼正式證書就要gg(被判無效)了。而當客戶端遇上預認證,十之**都會把它認作無效。「有毒」擴充套件的存在可以說是常規證書和預證書之間唯一的區別了。
毒性擴充套件使用一種獨一無二的oid:1.3.6.1.4.1.11129.2.4.3。oid又稱物件識別符號,是分配給某些目的並用於提供計算機可解析格式的標準化字串。例如,您可以檢視該oid號碼,並看到它已被分配了以下目的:「證書透明度預認證毒藥擴充套件(poison extension)」。其他oid(如1.3.6.1.5.5.7.48.1)用於ssl證書中以指示該證書的ocsp url。
因為這個擴充套件是存在的,windows將預認證視為無效。 這樣可以防止在使用ssl證書的情況下使用ssl,例如在https連線中。 在macos上,證書檢視器會說「不能使用此證書(無法識別的關鍵擴充套件)」。
在證書透明度協議(仍在開發中,rfc6962)的2.0版本中,預認證的格式將從x.509更改為cms(加密訊息語法)。 這意味著預製證的技術格式和編碼將會大大改變,並且將不再是與常規ssl證書相同的格式。也就是說,當部署ct 2.0時將不會再有毒藥擴充套件,因為不需要區分預密碼和有效的x.509 ssl證書。
ssl證書是由什麼組成?ssl證書是什麼?
網際網路的發展給人們的生活提供了便利,當然大家需要對ssl證書進行一定的了解,現在很多的 都安裝了ssl證書,的通訊協議是http它是明文傳輸的,但是給 安裝ssl證書之後,那麼 的資訊傳輸就是https了,那麼ssl的組成是什麼?ssl是什麼意思?大家一起了解一下吧。ssl證書是數字證書 ssl證...
什麼是SSL安全證書?
通俗點說ssl證書可以實現2個基本功能 資料傳輸加密 我們通常的網際網路訪問 瀏覽都是基於標準的tcp ip協議,內容以資料報的形式在網路上傳遞。由於資料報內容沒有進行加密,任何截獲資料報的人都可以取得其中的內容。那麼資料報中如果傳遞的是使用者名稱 密碼或其他個人隱私資料就很容易被別人竊取。ssl可...
什麼是自簽名SSL證書
在ssl證書中,分類是很多的,包括了ca的ssl和一些網域名稱型別的ssl證書,那麼這些ssl中都有什麼區別呢,還有一種證書是ssl自簽名證書,那麼這種ssl自簽名證書是什麼呢,下面來看看吧。自簽名證書是什麼呢,其實很多人都不懂。不過這種證書是不可以登出的,如果被擷取了,可以重新進行通訊。而且自簽名...