我正在查看 https://www.google.co.uk/ 后面的证书早些时候,我们注意到,按照惯例,该证书将在一年后(即 2013 年)到期。
我查找了该链并注意到根证书(GeoTrust 证书)的生命周期为 20 年,并且要到 2018 年才会过期。
这似乎很奇怪,因为在我看来,签名证书的完整性比它们签名的证书更重要。为什么根权限可以存活很长一段时间,但他们签署的证书的过期时间却往往很短?
最佳答案
根签名证书的私钥通常比服务器证书的私钥受到更好的保护。通常,各个服务器证书将以未加密的方式存储在相关 Web 服务器上,因此服务器可以在重新启动后恢复正常运行,而无需人工干预。但是签名 key 将被更安全地保存,通常受密码保护,而不是在面向互联网的服务器上,因为如果签名 key 被泄露,它颁发的所有证书都会变得毫无值(value)。
对私钥保护不太好的证书使用较短的到期时间基本上是一种损害限制机制,以防私钥被泄露。
关于security - 为什么 CA 证书可以有较长的过期时间,但它们签名的证书却不能?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13272843/