QQ交流群  QQ群号:592590819QQ在线客服

什么是SSL预证书?

来源:SSLLA  时间:2017-07-05 18:11:40


预验证是一种用做证书透明(CT,Certificate Transparency)的特殊SSL证书,预验证SSL证书与普通的SSL证书的不同之处在于,预验证证书不通过服务器的身份验证的链接(例如HTTPS连接)。

而他们的共同之处就是,同样允许身份验证直接被嵌入到证书中,这就显得很有意思,预SSL证书在普通的SSL证书之前,你可能没听说过这个东西,但是它确确实实存在。

SSL证书

为什么要使用预SSL证书

预SSL证书允许将证书的透明度数据直接嵌入到SSL证书中去。

预SSL证书将证明提交到证书透明度日志当中,然后对免费SSL证书进行预验证,并将证书透明度数据嵌入到SSL证书当中,而不作为单独的数据存在。

证书透明日志能够为SSL证书提供并生成一个有效的签名,但是证书颁发机构还需要获取到日志中的证书透明数据才能够生成最终能够使用的SSL证书

证书颁发机构(CA机构)向用户颁发签名证书,这些证书需要符合浏览器的证书透明规则,并提交到证书透明日志中去。CA机构通常会把证书透明数据直接嵌入证书当中,用以后续的预验证服务。而这些证书透明数据,以特定的不同于SSL证书的格式,所以会被视为不是有效的SSL证书。

预SSL证书如何工作

预证书与常规的SSL证书不同,他们以X.509 v3格式结尾,X.509格式为SSL证书提供了很大的灵活性,而浏览器可以使用扩展程序来读取他们。

预证书会在生成后被命名,而这个命名是一个很关键的标记,他意味着其他命名的预证书在同一个SSL证书中会被认为是无效的证书,同时也会告诉浏览器,除了这个证书,其他证书对整个站点都是无效的。

这是最为重要的一点,如果得不到整个正确的标记,无论是怎样的站点,在浏览器中都会显示无效的SSL证书或者是不安全的。

我们可以再电脑上下载一个预证书,他看起来和普通的SSL证书似乎没什么差别。但是打开之后,证书查看器中会显示证书中包含有未被标识的关键字。对于系统来说,这是无效的SSL证书,他可以防止用户把他当成真正的SSL证书来使用。

相关文章