• magicnum
    2019-08-01
    如果CA证书链有10层,难道要发10次TLS握手来拿到网站以及各个CA的证书,从而进行验证?这样第一次访问是不是也太慢了

    作者回复: 1、一条Server Hello消息会发多个证书。
    2、只有3层,根证书和权威证书

    
     4
  • LEON
    2019-12-29
    请教老师,比如我在家去访问您的taohui pub网站。如果我的浏览器里面没有根证书对您的网站的证书或者证书链信任。浏览器有没有功能到互联网进行下载对您信任的CA证书?遇到这种问题一般如何解决?

    作者回复: 没有办法,浏览器会提示这个网站不值得信任。你可以openssl生成一个自签名的证书,配置到网站上体验下。

    
    
  • tongmin_tsai
    2019-09-28
    老师,按照本课程里面的流程,有些概念有混淆,望解答,BOB先生成了自己的公司要BPUB和BPRI,然后去CA机构注册,注册中用到了BOB的信息以及BPUB,然后CA机构返回了CA证书,CA证书包含了版本签名算法,签名哈希算法、公钥等信息,那么在签名和验签流程PPT中,数据的加解密都用到的是CA里面的公私钥吗?那段把HASH值加密,用的是BOB生成的BPRI还是CA机构的私钥,如果是CA机构的私钥,能获取到吗?如果都是用BOB的公钥和私钥,那么CA机构在这个过程中,起到什么作用呢?

    作者回复: 1、数据加解密用的是Bob的公私钥,这样只有Bob能解密;
    2、浏览器拿到的证书是从网络上获取到的。确认证书里的Bob确实是Bob而不是Charlie,需要依赖CA机构用其私钥加密的摘要,因为浏览器可以根据根证书知道CA机构是可信的,它拿到了CA机构的公钥,又通过解密摘要知道这段证书是CA认可的。

    
    
我们在线,来聊聊吧