我在一家非常小的公司工作,所以证书成本需要非常小。 然而,对于我们需要的一些应用,我们需要让我们的客户得到那种温暖的模糊不使用自签名证书的感觉。
由于使用makecert创build“证书颁发机构”实际上意味着创build公钥/私钥对,似乎很清楚,从这样的“证书颁发机构”创build公钥/私钥对真的意味着生成第二个公钥/私钥对并使用属于“证书颁发机构”的私钥进行签名。 由于密钥是经过签名的,任何人都可以validation它们来自我创build的证书颁发机构,或者如果verisign给了我们这个密钥对,他们就用自己的一个私钥签名,任何人都可以使用verisigns相应的公钥来确认verisign的来源按键。
鉴于这一点,我不明白当我去verisign或godaddy为什么他们只有每年的计划率,当我真正想要从他们是一个单一的公共/私人密钥对与他们的私人密钥之一签署(以便其他人可以使用他们的公钥来确认,是的,他们给了我这个公钥/私钥对,他们证实我是我所说的我可以信任我的公钥/私钥对属于合法的第三方)。
显然我误解了什么,是什么? Verisign是否会定期撤销其公钥/私钥对,以便我签名的密钥对“过期”,我需要新的密钥对?
编辑:我了解到,证书有一个内部到期date,它也维护一个内部值,说明它是否可以用来签署其他证书(即签署存储为证书的其他私钥/公钥对)。 我是否可以获得几个(甚至一个)未签名的证书,像verisign这样的人签名,我可以使用身份validation/encryption没有每年订阅?
我猜测他们会在所发行的证书上填上有效期限,以保持自己的业务。
如果您想尝试免费的证书颁发机构,请尝试CAcert或StartCom 。 但是,您的客户可能会坚持使用像VeriSign这样的“知名”authentication机构。
证书必须有有效期限,因为良好的密码实践的一部分是关键pipe理。 虽然您的私钥今天是安全的,但是明天可能会在一些数据安全漏洞中被披露 – 您持续使用密钥的时间越长,它最终被入侵的几率就越高。
如果存在一个时间无限的证书,指定了被盗用的密钥,那么有人可以使用该证书和被盗用的密钥假装永远是你。 有了到期机制,他们只能将其closures,直到证书过期。
年度费用允许您在完成初始stream程后随时重新签发并更新您的证书。 您的authentication不会在订阅时自动失效; 比如说,即使是我们的年度订阅,我们的证书也会有两年的到期(他们所依据的根证书更像是10年)。 你可以用自己的证书签署自己的证书,只要你说他们应该是有效的,只要他们签署了一个有效的证书。 根据我的经验,扩展的证书链validation很less在浏览器和其他SSL客户端上执行。
证书公司将会部分地失效,以迫使你跟上SSL安全的发展(例如,从512位到2048,或者到EC而不是RSA),部分是为了保护你和其他人,以防你的一个证书离开或者在你认为不存在的情况下长时间保存和破解,部分是为了经常重新审查你,以防你改名,停业或者其他任何事情。 这是他们信任链的一部分。 如果他们发现得早,他们可以立即发出CRL,但是如果没有的话,你的旧证书自然会过期,不需要额外的努力。
这也是一个收入来源,那就是生意。
如果你想成为自己的CA,确保你获得了一个证书签名证书,并准备好在你使用它们的时候把一些证书链中的所有证书捆绑在一起,做一些头痛的准备。
根据签名机构的不同,validation可能相当广泛(因此对于授权而言是昂贵的)。 这会增加证书的成本。 一般来说,证书的成本会随着validation的水平而变化。 新技术允许通过地址栏中的彩色通知反映信任程度。
证书颁发机构的证书通常每十年左右过期。 部分时间将需要获得部署在浏览器的证书caching中的证书,所以它们可能在一年或两年内不能使用。 在过去的一两年里,由于签名密钥将在签名密钥过期之前过期,因此它们将不会有用。
通过签署您的密钥,authentication机构实质上是在说我们相信这个证书的持有者,所以您也可以信任他们。 他们应该定期validation这种信任,因此证书到期的原因之一。
CRLs如果提供和检查允许签字机构宣布他们不再信任密钥的持有者。 这可能由于各种原因而发生; 被盗密钥,不恰当的发布密钥,密钥不再使用,或其他原因。 证书过期可以用来缩小CRL数据库的大小。
一些签字机构将颁发多年证书。 这可能只适用于更新证书。
一旦您开始使用证书,您将承诺维护涉及的信任关系。 这将包括定期部署更新证书。