我看到:支付宝证书是由“Alibaba.com Corporation User CA 机构”颁发的。
PKI 里写得清清楚楚:“数字证书应该由双方都信任的第三方机构颁发”,确切地说,是“签发”!
OK,马云你自己给自己签发,你当然相信了这个 CA 了,可问题来啦:我凭什么信任这个 Alibaba.com Corporation User CA 证书颁发机构呢?
PKI 里还写了:“数字证书是带有 CA 签名的”,可是问题是我怎么验证这个签名呢?必须有 CA 的公钥证书啊!
可是这个 CA 的公钥证书,又由谁签发呢?我又怎么验证呢?
而且现在可是谁都可以作为 CA 签发数字证书啊!普通客户端凭什么去验证颁发机构 CA 呢?
打个比方吧:
浏览网页的时候
某钓鱼网站网站 A 给我的浏览器发送了一个数字证书,证书声称 http://i_am_alipay.com 是支付宝的网站,这个证书是 Alibaba.com Corporation User CA 机构颁发的。
当然了,既然它是钓鱼的,那肯定不是马云那个“Alibaba.com Corporation User CA 机构”颁发的了,但是它可以自己建一个 CA 啊,名字也叫“Alibaba.com Corporation User CA 机构”,然后骗我们把这个假的“Alibaba.com Corporation User CA 机构”加入到 IE 的受信任颁发机构列表里!
这样一来,颁发真的淘宝数字证书的那个 CA,和这个钓鱼网站的 CA,客户端要怎么分辩呢?
如果没法区分,麻烦不是大啦?!
我靠!!昨天想这个问题想了一天,没有想通!
我后来想啊:
除非“Alibaba.com Corporation User CA 机构”这个 CA,由另外一个 CA 来签发,这个 CA 又由另外一个 CA,***,一直蛋疼,找到一个全球唯一的 CA(全世界都相信的 CA,这个 CA 的证书就叫根证书吧??)来签发,不然没办法啊!
我整理一下关系啊:
最后这个 An 就在我电脑某处存着,是根证书!最牛 B 的,不可怀疑的,请保护好,不能被篡改!
是这个意思啵?请指教!
如果是这个意思,我更纠结了:TMD 还有不需要签名,不证自明的公钥证书啊!凭啥啊!
还有,这个最牛 B 的 CA 的根证书一定得事先在我电脑某处保存着吧?要不然,我上哪弄根证书去啊!?
可是如果电脑里某个地方保存,那万一该根证书中公钥被哪个 NB 的黑客或者恶意程序,改成它自己的公钥了怎么办?
我靠!!那这个存在我电脑里的这个根证书也太 TMD 重要了吧,这么重要的东东死也要看好才行啊!比什么管理员 root 密码还重要得多啊!那可是钱啊!
怎么却从来没人跟俺提过呢?
越想越糊涂了!
求大家了!我现在纠结死了!
请安全专家们救我!
可卿救我!!!
老婆一年在淘宝上买上万块的东东,身为技术人员,不搞清楚这个说得过去吗?
说得过去么? !
说得过去么? !
说得过去么? !
说得过去么? !
朋友们,就是不懂,请你们也帮我顶下!