對于ssl證書鏈檢測,主要是兩方面����,一是ssl證書鏈中證書個體的檢測,另外一個是ssl證書鏈整體的檢測��。對于前者��,與之前服務器證書檢測一樣,主要也是檢測是否過期�����、簽名是否安全等��,外加是否屬于自簽名證書(即自己給自己簽發(fā)��,也就是SubjectKeyId與AuthorityKeyId相同)�。對于ssl證書鏈檢測,主要集中哪幾點呢����?
分別集中在以下這幾點:
一、ssl證書鏈長度檢測���。既然都稱為鏈了,那長度最起碼也得大于2吧��。而最長長度也得要有一定的限制����,畢竟沒有哪個瀏覽器證書鏈包含十幾份證書,具體上限是多少�,小編我沒有找到相關資料��,可以自行設定�����,根據后續(xù)檢測結果調整����。
二�、ssl證書鏈順序檢測。這里順序檢測主要是保證下級證書必須是由上級機構簽發(fā)�����,即證書鏈中��,下級證書的AuthorityKeyId要與上一級證書的SubjectKeyId相等����。
三、ssl證書鏈根證書檢測��。這里要進行根證書的可信檢測���,主要是指證書鏈的根部證書必須包含在已知的可信根證書集中���,這是保證后續(xù)簽發(fā)證書可信的必要條件�����。
ssl證書鏈長度檢測比較簡單�����,編程獲取的證書信息中都會包含證書鏈信息��,一般以列表形式存在�����,只要檢測其列表長度即可�。
ssl證書順序的檢測需要從服務端證書開始�����,依次檢測該證書的AuthorityKeyId是否與列表中下一證書的SubjectKeyId一致���,保證下級證書由上級機構簽發(fā)。
根ssl證書可信的檢測,主要是檢測證書鏈中根部證書是否可信���。瀏覽器和操作系統(tǒng)中一般都會自帶大量可信CA根證書�,例如:
除此之外還有類似aosp.pem�,apple.pem,microsoft.pem�����,java.pem�����,mozilla.pem等作為補充���,總之�����,可以包含你所知道的所有可信根證書集合�����,越全越好��,甚至可以把那些瀏覽器不信任但我們認為可信的根證書也包含在內���,比如SRCA�。對于可信CA根證書的檢測��,只需確定證書鏈中的根證書是否屬于所提供的可信CA根證書集即可�,具體到細節(jié)實現,就是判斷ssl證書鏈根證書的SubjectKeyId是否包含在上述證書集組成的字典(key為SubjectKeyId��,value可以為證書)中�����,當然其中需要一些細節(jié)處理����。小編這里就不詳細解說,如果你還有疑問����,請咨詢恒訊科技技術人員。
