【小Y 提示】本文源于互聯(lián)網(wǎng)收集整理，不代表YINGSOO觀點！若有咨詢“ssL預證書是什么?為什么需要預證書?”等有關(guān)服務(wù)器、云主機租用、托管、配置、價格問題，請在線咨詢YINGSOO客服，簡單、便捷、高效！

【暢銷推薦】美國物理服務(wù)器特價 | 美國云服務(wù)器特價 | 服務(wù)器免費試用

【常見問答】托管服務(wù)器的價格一般是多少？

ssL預證書是什么？

預驗證是用作證書透明度（ct）一部分的特殊類型的ssL證書。 預先證書與常規(guī)ssL證書不同，因為它們不是（也不可以）用于驗證服務(wù)器或形成經(jīng)過身份驗證的連接（例如Https連接）。它們的唯一目的是允許證明證書已被記錄以直接嵌入到證書中。顧名思義，預認證出現(xiàn)在正式證書之前。而預證書幾乎很少暴露給最終用戶，也就是說你可能收到了預證書但從不知道它的存在。

預證書在證書透明度RFc中定義。本文將用簡單的語言解釋什么是預先證書，如何使用它們以及它們的工作機制。

為什么需要預證書？

預證書的存在是為了允許將證書透明度數(shù)據(jù)直接嵌入到最終證書中。

預驗證是將證明提交到證書透明度日志（sct）的證書的幾種方式之一。 預處理的優(yōu)點是允許將ct數(shù)據(jù)嵌入ssL證書本身，而不是作為單獨的數(shù)據(jù)提供（其他方法要求在握手期間將sct作為單獨的文件發(fā)送，與ocsp stapling類似）。

ct日志需要能夠為該證書的數(shù)據(jù)生成一個有效的簽名（sct），但是cA還需要日志中的sct才能創(chuàng)建最終的證書。 于是需要預證書來解決這個問題，它允許日志生成正確的簽名，而不需要最終的證書。

以下是需要用到預證書的場景：

1.證書頒發(fā)機構(gòu)（cA）將向客戶簽名并頒發(fā)證書。他們需要使其符合瀏覽器的ct策略，因此他們需要將證書提交到ct Log。

2.cA對如何提供證書已被記錄的證據(jù)有不少選擇。如果他們想直接將該證明嵌入證書，他們將需要使用預認證。

3.在cA簽署最終證書之前，他們首先創(chuàng)建一個預認證，其中包含相同的數(shù)據(jù)，但格式化為特定方式，以使其不被視為有效的ssL證書。

4.cA將預認證提交到ct日志并接收sct（簽名證書時間戳）。這是一個由日志簽署的文件，可用于密碼證明客戶端證書已被記錄。

5.cA發(fā)布最終證書，sct嵌入其中。

6.終端用戶可以部署他們的證書，并證明他們的證書中包含它們的ct合規(guī)性。這是包含sct的最佳方式。

當你搜索證書透明度日志時，可能會遇到預認證，但不能檢查關(guān)聯(lián)的（有效的）證書。 這是因為cA不需要將后續(xù)證書提交到日志。 即使預先認證不被客戶視為有效，但是仍然保留相同的發(fā)行標準。 ct RFc規(guī)定，“預認證的錯誤被認為等于最終證書的錯誤”。

預證書如何運作？

預證書不同于普通證書的點在于它使用X.509 v3格式的擴展名的數(shù)據(jù)字段區(qū)。擴展為X.509格式提供了靈活性，并允許采用新功能，而不需要新版本的格式。

預證書包含一個“有毒的擴展”。是的你沒看錯，這個擴展有毒！之所以這么稱呼它是因為該擴展十分關(guān)鍵還不支持客戶端。如果它沒有被正確解析，那么正式證書就要gg（被判無效）了。而當客戶端遇上預認證，十之八九都會把它認作無效?！坝卸尽睌U展的存在可以說是常規(guī)證書和預證書之間唯一的區(qū)別了。

毒性擴展使用一種獨一無二的oid：1.3.6.1.4.1.11129.2.4.3。oid又稱對象標識符，是分配給某些目的并用于提供計算機可解析格式的標準化字符串。例如，您可以查看該oid號碼，并看到它已被分配了以下目的：“證書透明度預認證毒藥擴展（poison extension）”。其他oid（如1.3.6.1.5.5.7.48.1）用于ssL證書中以指示該證書的ocsp URL。

舉個栗子，如果你在windows中下載并打開一個預認證，它將看起來與常規(guī)ssL證書非常相似。 但是，在windows“證書查看器”的“常規(guī)”窗格中，您將注意到它將顯示為“證書包含未標識為”關(guān)鍵“的擴展名?！痹凇霸敿毿畔ⅰ敝校鷷吹降撞扛浇谐龅亩舅帞U展名（查找oid）。

因為這個擴展是存在的，windows將預認證視為無效。 這樣可以防止在使用ssL證書的情況下使用ssL，例如在Https連接中。 在macos上，證書查看器會說“不能使用此證書（無法識別的關(guān)鍵擴展）”。

在證書透明度協(xié)議（仍在開發(fā)中，RFc6962）的2.0版本中，預認證的格式將從X.509更改為cms（加密消息語法）。 這意味著預制證的技術(shù)格式和編碼將會大大改變，并且將不再是與常規(guī)ssL證書相同的格式。也就是說，當部署ct 2.0時將不會再有毒藥擴展，因為不需要區(qū)分預密碼和有效的X.509 ssL證書。

本公司ssL證書服務(wù)上線，特推出折上折優(yōu)惠活動：會員即可購買可以享受最低優(yōu)惠價99元/年！

YINGSOO的海外站群服務(wù)器產(chǎn)品線，覆蓋了美國、香港、韓國三大節(jié)點，可提供1-16C段多IP服務(wù)器，帶寬及IP資源充足，極大程度上滿足了您的建站需求。詳詢售前小姐姐（Min-微信號：YINGSOO-VIP1 / 企業(yè)QQ：3002770458）

版權(quán)聲明：本站文章來源標注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學習參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。