当我在浏览器中查看受信任的证书时,我发现许多证书颁发机构都有多个与之关联的根证书。例如,org-Amazon有Amazon Root CA 1、Amazon Root CA 2、Amazon Root CA 3和Amazon Root CA 4。
这四种证书的用途有何不同?
我还看到一些 CA 具有不同“层”的根证书,例如gold、silver和platinum. 这些有什么关系?我想不同层级存在价格差异,但他们可以提供哪些额外服务?
为什么证书颁发机构会有多个根证书?
信息安全
tls
证书
网页浏览器
公钥基础设施
证书颁发机构
2021-08-29 20:35:39
2个回答
出于不同的原因,许多公共 CA 在信任存储中拥有多个根证书,并且很大程度上取决于它们的业务运营。通常来自同一供应商的根源不同:
- 用法列表
- 公钥或签名算法支持
- 保证水平
- 冗余
例如,Amazon Root CA 2并且Amazon Root CA 4允许Code Signing在他们的连锁店证书,同时Amazon Root CA 1并Amazon Root CA 3不允许这样。这就是“EKU”分离。
Amazon Root CA 1并Amazon Root CA 3共享相同的用法列表,但它们使用不同的公钥和签名算法:Amazon Root CA 1并Amazon Root CA 2使用 RSA 公钥,Amazon Root CA 3并Amazon Root CA 4使用 ECC 公钥。
此设置提供了良好的灵活性、兼容性和安全性。
亚马逊在https://www.amazontrust.com/repository/上列出了 5 个根 CA :
CN=Amazon Root CA 1,O=Amazon,C=USCN=Amazon Root CA 2,O=Amazon,C=USCN=Amazon Root CA 3,O=Amazon,C=USCN=Amazon Root CA 4,O=Amazon,C=USCN=Starfield Services Root Certificate Authority - G2,O=Starfield Technologies\, Inc.,L=Scottsdale,ST=Arizona,C=US
现在我认为“Starfield”是他们为进入 CA 游戏而购买的 CA。其他 4 个亚马逊是自己制造的。
我看到的一个区别是 CA 1-4 都有不同的密钥类型。( Key Type 2048-bit RSA, Key Type 4096-bit RSA, Key Type ECDSA (P-256), Key Type ECDSA (P-384).) 那是当时的显着差异。也许还有其他差异(例如可能的预期用途)。但是仅密钥类型就使四个 CA 彼此非常不同。