對(duì)于ssl證書(shū)鏈檢測(cè)�,主要是兩方面�����,一是ssl證書(shū)鏈中證書(shū)個(gè)體的檢測(cè)����,另外一個(gè)是ssl證書(shū)鏈整體的檢測(cè)����。對(duì)于前者,與之前服務(wù)器證書(shū)檢測(cè)一樣��,主要也是檢測(cè)是否過(guò)期����、簽名是否安全等��,外加是否屬于自簽名證書(shū)(即自己給自己簽發(fā)����,也就是SubjectKeyId與AuthorityKeyId相同)���。對(duì)于ssl證書(shū)鏈檢測(cè)��,主要集中哪幾點(diǎn)呢�����?
分別集中在以下這幾點(diǎn):
一����、ssl證書(shū)鏈長(zhǎng)度檢測(cè)����。既然都稱(chēng)為鏈了�,那長(zhǎng)度最起碼也得大于2吧。而最長(zhǎng)長(zhǎng)度也得要有一定的限制,畢竟沒(méi)有哪個(gè)瀏覽器證書(shū)鏈包含十幾份證書(shū)����,具體上限是多少,小編我沒(méi)有找到相關(guān)資料����,可以自行設(shè)定�����,根據(jù)后續(xù)檢測(cè)結(jié)果調(diào)整�。
二、ssl證書(shū)鏈順序檢測(cè)��。這里順序檢測(cè)主要是保證下級(jí)證書(shū)必須是由上級(jí)機(jī)構(gòu)簽發(fā)�����,即證書(shū)鏈中���,下級(jí)證書(shū)的AuthorityKeyId要與上一級(jí)證書(shū)的SubjectKeyId相等。
三����、ssl證書(shū)鏈根證書(shū)檢測(cè)�。這里要進(jìn)行根證書(shū)的可信檢測(cè)����,主要是指證書(shū)鏈的根部證書(shū)必須包含在已知的可信根證書(shū)集中,這是保證后續(xù)簽發(fā)證書(shū)可信的必要條件��。
ssl證書(shū)鏈長(zhǎng)度檢測(cè)比較簡(jiǎn)單�����,編程獲取的證書(shū)信息中都會(huì)包含證書(shū)鏈信息�����,一般以列表形式存在���,只要檢測(cè)其列表長(zhǎng)度即可。
ssl證書(shū)順序的檢測(cè)需要從服務(wù)端證書(shū)開(kāi)始�����,依次檢測(cè)該證書(shū)的AuthorityKeyId是否與列表中下一證書(shū)的SubjectKeyId一致����,保證下級(jí)證書(shū)由上級(jí)機(jī)構(gòu)簽發(fā)����。
根ssl證書(shū)可信的檢測(cè)�����,主要是檢測(cè)證書(shū)鏈中根部證書(shū)是否可信����。瀏覽器和操作系統(tǒng)中一般都會(huì)自帶大量可信CA根證書(shū)�,例如:
除此之外還有類(lèi)似aosp.pem,apple.pem�����,microsoft.pem��,java.pem����,mozilla.pem等作為補(bǔ)充��,總之,可以包含你所知道的所有可信根證書(shū)集合��,越全越好�,甚至可以把那些瀏覽器不信任但我們認(rèn)為可信的根證書(shū)也包含在內(nèi),比如SRCA�。對(duì)于可信CA根證書(shū)的檢測(cè),只需確定證書(shū)鏈中的根證書(shū)是否屬于所提供的可信CA根證書(shū)集即可�,具體到細(xì)節(jié)實(shí)現(xiàn),就是判斷ssl證書(shū)鏈根證書(shū)的SubjectKeyId是否包含在上述證書(shū)集組成的字典(key為SubjectKeyId�,value可以為證書(shū))中,當(dāng)然其中需要一些細(xì)節(jié)處理��。小編這里就不詳細(xì)解說(shuō)�,如果你還有疑問(wèn),請(qǐng)咨詢(xún)恒訊科技技術(shù)人員���。
