Newbee SSL证书问题。
背景: 我从 Comodo 购买了一个简单的域验证证书,并获得了 4 个我必须手动链接的证书。证书费用为 10 美元。
wildcart 证书的成本大约为 100 美元。
问题:是否无法自己为任何子域创建证书请求,然后使用购买的域证书对 .csr 进行签名,然后将所有内容链接在一起?
我的理解一定有逻辑错误,否则不会有这样的商业模式,对吧?
最佳答案
There must be some logic error in my understanding otherwise there would not be such business model, would it?
逻辑错误是您假设您可以使用您购买的证书来签署其他证书。但是,只有带有特殊标记的证书才能签署其他证书,并且像 Comodo 这样的证书代理机构 (CA) 不会向您出售此类证书(或仅以大量金钱和安全审计为目的)。
此限制的主要原因是(由于设计损坏)任何 CA 证书都可用于签署任何主机证书,这意味着一旦您拥有受信任的 CA 证书,您就可以冒充所有其他主机。
顺便说一句,通配符证书也有链。与更便宜的证书的唯一区别是它对更多主机有效(例如域的所有子域)。
关于ssl - 子域的通配符证书和链式证书有什么区别?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28696537/