我通常使用自簽名證書,但是現在我需要以絕對最低的成本獲得一個合適的證書。
由於創建一個“證書頒發機構”makecert實際上只是意味著創建一個公鑰/私鑰對,因此很明顯,從這樣的“證書頒發機構”創建一個公鑰/私鑰對實際上只是意味著生成第二個公鑰/私鑰對,並使用屬於「憑證授權單位」的私鑰對兩者進行簽署。由於金鑰已簽名,任何人都可以驗證它們來自我創建的憑證授權機構,或者如果Verisign 給了我這對金鑰,他們會使用自己的私鑰之一對其進行簽名,並且任何人都可以使用Verisign 對應的公鑰來確認verisign 作為金鑰的來源按鍵。
有鑑於此,我不明白為什麼 Verisign 或 Godaddy 只提供年度計劃的費率,而我真正想要從他們那裡得到的只是用他們的私鑰之一簽署的單一公鑰/私鑰對。
顯然我誤解了一些東西,那是什麼? Verisign 是否會定期停用其公鑰/私鑰對,以便我的 Verisign 簽署金鑰對「過期」而我需要新的金鑰對?
編輯:我了解到該證書有一個內部到期日期,並且還維護一個內部值,說明它是否可以用於簽署其他證書(即簽署作為證書存儲的其他私鑰/公鑰對)。我能否獲得一些(甚至一個)由 Verisign 等公司簽署的非簽名證書,無需每年訂閱即可用於身份驗證/加密?
答案1
答案2
憑證必須有有效期,因為良好的加密實踐的一部分是金鑰管理。儘管您的私鑰今天是安全的,但明天它可能會在某些資料安全漏洞中洩露 - 您使用該金鑰的時間越長,它最終被洩露的可能性就越大。
如果存在指定該洩漏金鑰的無時間限制的證書,則有人可以使用該證書和洩漏金鑰來冒充您永遠。透過過期機制,他們只能在憑證過期之前完成此操作。
答案3
年費可讓您在完成初始流程後隨時重新核發和更新您的憑證。當您的訂閱到期時,您的證書不會自動到期;例如,即使我們按年訂閱,我們的證書也有兩年有效期(它們所基於的根證書更像是 10 年)。您可以用它簽署您自己的證書,只要您說它們應該有效,只要它們是用當時有效的證書簽署的,它們仍然有效。根據我的經驗,擴充功能的憑證鏈驗證很少在瀏覽器和其他 SSL 用戶端中執行。
憑證公司將使憑證過期,部分原因是為了迫使您跟上SSL 安全發展(例如,從512 位元變為2048 位,或採用EC 而不是RSA),部分原因是為了在您的某個憑證過期時保護您和其他人或在你認為它已經消失很久之後才被保存並破解,部分原因是為了經常重新審查你,以防你改名、倒閉或其他什麼情況。這是他們信任鏈的一部分。如果他們儘早發現,他們可以立即頒發 CRL,但如果沒有,您的舊證書自然會過期,無需額外的努力。
這也是一種收入來源,這就是生意。
如果您想成為自己的 CA,請確保獲得證書簽署證書,並準備好在使用鏈中的所有證書時遇到一些麻煩。
答案4
根據簽名機構的不同,驗證可能相當廣泛(因此對於機構來說成本高昂)。這會增加證書的成本。一般來說,證書的費用會根據驗證的等級而有所不同。新技術允許透過網址列中的彩色通知來反映信任程度的一些指示。
證書頒發機構的證書通常每十年左右到期一次。其中一些時間將需要獲取部署在瀏覽器證書快取中的證書,因此它們可能在前一兩年不會被使用。在過去的一兩年裡,它們不會有用,因為簽署金鑰將在簽署金鑰過期之前過期。
透過簽署您的金鑰,憑證授權單位實質上是在表示我們信任該憑證的持有者,因此您也可以信任他們。他們應該定期驗證這種信任,這也是憑證過期的原因之一。
如果提供並檢查了 CRL,則簽署機構可以宣布他們不再信任金鑰的持有者。發生這種情況的原因有很多;鑰匙被竊、鑰匙發放不當、鑰匙不再使用或其他原因。憑證過期可用於減少 CRL 資料庫的大小。
一些簽署機構將頒發多年證書。這可能僅適用於續約證書。
一旦開始使用證書,您將致力於維護所涉及的信任關係。這將包括定期部署更新憑證。