最近,我的networking主机开始发送我的邮件客户端一个自签名根证书没有填充字段(一切都表示“未知”)通过SSL连接。 我很确定这不是一件好事,但是因为它起作用,所以技术支持人员说这很好。
我不是证书大师,所以我正在转向你们。 证书的用途是什么? 证书是否每个字段都设置为“未知”是否真的没问题? 我不经常查看证书,但我不记得曾经发过一个根证书。 根证书和另一种证书有什么区别?
受信任的证书颁发机构添加的值是他们经过(或者应该)一些努力来validation他们颁发证书的实体的身份。 当您的电子邮件程序或networking浏览器从ISP获得适当的证书时,可以validation它是由相关的CA颁发的,并且对于该网站有效。 或者如维基百科所说:
CA在此类计划中的义务是validation申请人的凭证,以便用户和依赖方可以信任CA证书中的信息。 CA使用各种标准和testing来做到这一点。 实质上,authentication机构负责说:“是的,这个人就是他们说的那个人,我们这个CA就是这样certificate的。”
如果用户信任CA并可以validationCA的签名,那么他也可以validation某个公钥是否确实属于证书中的任何人。
现在,如果您的ISP通过某种可信的方式向您传达了一个新的根证书,并要求您导入它,然后他们总是传输根证书或证书以便链接回根,那么您并没有真正失去使用值得信赖的第三方。 这里主要的危险是有人闯入ISP的证书服务器,并向自己颁发一些可用于攻击的证书。
但是,如果ISP随机制作证书,并告诉您只需点击popup的任何警告,您就可能遇到更大的问题。 考虑一下,如果有人想要执行一个中间人的攻击,他们可以组成任何随机的证书,并把它发送给你,而不是ISP的证书。 你没有好的方法来判断它是来自你的ISP还是你的攻击者。 实际上,如果您习惯于获得自签名根证书,您可能只需点击任何警告,即可能会popup该软件。 在这一点上,攻击者可以嗅探你的encryptionstream量,并学习你的密码或任何他正在寻找。
您可能需要查看维基百科有关中级证书颁发机构的文章。