TLS客户端是否需要在信任存储中具有中间CA？

TLS客户端不需要在信任存储中具有中间CA。

TLS（Transport Layer Security）是一种加密协议，用于在网络通信中保护数据的安全性和完整性。在TLS握手过程中，服务器会提供其证书，客户端通过验证该证书的有效性来确保与服务器的通信是安全的。

证书是由数字证书颁发机构（CA）签发的，用于验证服务器的身份。中间CA是指在证书链中位于服务器证书和根证书之间的CA。客户端在验证服务器证书时，会检查证书链中的每个CA是否受信任，以确保服务器证书的合法性。

然而，TLS客户端不需要在信任存储中具有中间CA。客户端只需要验证服务器证书是否由受信任的根证书签发，并且证书链的完整性是否正确。客户端的信任存储通常包含一组根证书，这些根证书是由操作系统或浏览器厂商预先安装的，用于验证服务器证书的合法性。

客户端验证服务器证书的过程如下：

客户端收到服务器证书。
客户端提取证书链中的根证书。
客户端检查根证书是否存在于信任存储中。
如果根证书存在于信任存储中，客户端信任服务器证书。
如果根证书不存在于信任存储中，客户端会发出警告或拒绝与服务器建立连接。

总结起来，TLS客户端只需要在信任存储中具有根证书，用于验证服务器证书的合法性，而不需要中间CA。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

HTTP与HTTPS的区别，详细介绍

但是，在使用非对称加密秘钥之前，比如由服务端生成非对称秘钥，它需要将生成的公钥给到客户端，这个时候公钥就会在网络中明文传输，任何人都可以更改，会有中间人攻击的问题。...5、进入客户端生成对称密钥再进行对接的过程…… 关于证书链事实上，证书的验证过程中还存在⼀个证书信任链的问题，因为我们向 CA 申请的证书⼀般不是根证书签发的，⽽是由中间证书签发的，⽐如百度的证书...在这四个步骤中，最开始客户端只信任根证书 GlobalSign Root CA 证书的，然后 “GlobalSign Root CA” 证书信任 “GlobalSign Organization Validation...CA – SHA256 – G2” 证书，⽽ “GlobalSign Organization Validation CA – SHA256 – G2” 证书⼜信任 baidu.com 证书，于是客户端也信任...最关键的，SSL证书的信用链体系并不安全，特别是在某些国家可以控制CA根证书的情况下，中间人攻击一样可行。实践中建议保留http。

1.6K2 0

车联网通信安全之 SSLTLS 协议

认证的原理其实非常简单，以单向认证为例，最简单的情况就是服务端在 SSL/TLS 握手阶段发送服务端证书，客户端验证该证书是否由受信任的 CA 机构签发，也就是使用受信任的 CA 证书中的公钥来验证服务端证书中的数字签名是否合法...还是以单向认证为例，如果客户端只信任了根 CA 证书，那么服务端在握手阶段就需要发送服务端证书和根 CA 证书到服务端证书之间的所有中间 CA 证书。...只有客户端拿到了完整的证书链，才能通过自己持有的根 CA 证书一层一层往下验证，缺少中间 CA 导致证书链不完整或者包含了错误的中间 CA，都会导致信任链中断而无法通过认证。...如果客户端除根 CA 证书以外，还持有一部分中间 CA 证书，那么在认证过程中，服务端还可以省略这些中间 CA 证书的发送，来提高握手效率。...因此，当我们配置单向认证时，需要在服务端指定服务端证书和中间 CA 证书（可选），以及服务端私钥文件。

1.2K2 0

一文读懂Https的安全性原理、数字证书、单项认证、双项认证等

数字证书通常来说是由受信任的数字证书颁发机构CA，在验证服务器身份后颁发，证书中包含了一个密钥对（公钥和私钥）和所有者识别信息。数字证书被放到服务端，具有服务器身份验证和数据传输加密功能。...在 TLS握手时会通过 certificate 消息传输给客户端； 2）身份授权：确保客户端访问的网站是经过 CA 验证的可信任的网站。...误区1：对于CA机构颁发的证书客户端无须内置上面提到访问HTTPS服务器是需要在客户端配置服务器证书的。有些小伙伴可能就纳闷了，说我们用的就是HTTPS但是并没有在客户端配置证书呢？...其实这是因为在Android系统中已经内置了所有CA机构的根证书，也就是只要是CA机构颁发的证书，Android是直接信任的。对于此种情况，虽然可以正常访问到服务器，但是仍然存在安全隐患。...假如黑客自家搭建了一个服务器并申请到了CA证书，由于我们客户端没有内置服务器证书，默认信任所有CA证书（客户端可以访问所有持有由CA机构颁发的证书的服务器），那么黑客仍然可以发起中间人攻击劫持我们的请求到黑客的服务器

2.3K2 0

配置客户端以安全连接到Apache Kafka集群4：TLS客户端身份验证

默认情况下，在安全集群中，Kafka具有配置用于处理SASL_SSL身份验证的单个侦听器。要启用TLS身份验证，我们需要在其他端口上创建一个附加的侦听器来处理SSL协议。...现在，如果这是与颁发代理证书的CA不同的CA ，则还必须确保已将颁发客户端证书的CA的证书添加到代理的信任库中。我们建议客户端证书（和代理证书）由您拥有和控制的私有CA颁发。...切勿将不受控制的CA证书（特别是公共CA）添加到集群信任库中。在Cloudera Data Platform（CDP）部署中，在共享同一环境的所有集群和服务之间一致地启用TLS。...保存您的更改：如上所述，Kafka需要信任颁发给您的客户的证书。如果这些证书是由与Kafka Broker证书不同的CA签名的，则需要将客户端证书的CA添加到Kafka信任库中。.../tls-client.properties 注意：上面的客户端配置包含敏感的凭据。将此配置存储在文件中时，请确保已设置文件许可权，以便只有文件所有者才能读取它。

3.7K2 0

HTTPS加密协议详解

TLS/SSL具有身份验证、信息加密和完整性校验的功能，可以避免信息窃听、信息篡改和信息劫持的风险。...CA的公钥解密签名数据，对比证书的信息摘要，如果一致，则可以确认证书的合法性，即公钥合法; f.客户端然后验证证书相关的域名信息、有效时间等信息; g.客户端会内置信任CA的证书信息(包含公钥)，如果...3，证书链如 CA根证书和服务器证书中间增加一级证书机构，即中间证书，证书的产生和验证原理不变，只是增加一层验证，只要最后能够被任何信任的CA根证书验证合法即可。...二级证书结构的优势目前，使用二级证书结构主要有以下的优势： a.减少根证书结构的管理工作量，可以更高效的进行证书的审核与签发; b.根证书一般内置在客户端中，私钥一般离线存储，一旦私钥泄露，则吊销过程非常困难...请求者发送证书的信息并请求查询，服务器返回正常、吊销或未知中的任何一个状态。证书中一般也会包含一个 OCSP 的 URL 地址，要求查询服务器具有良好的性能。

2.4K7 0

字节一面：HTTPS 一定安全可靠吗？

TLS 握手；在客户端与中间人进行 TLS 握手过程中，中间人会发送自己的公钥证书给客户端，客户端验证证书的真伪，然后从证书拿到公钥，并生成一个随机数，用公钥加密随机数发送给中间人，中间人使用私钥解密...在中间人与服务端进行 TLS 握手过程中，服务端会发送从 CA 机构签发的公钥证书给中间人，从证书拿到公钥，并生成一个随机数，用公钥加密随机数发送给服务端，服务端使用私钥解密，得到随机数，此时双方都有随机数...中间人服务器与客户端在 TLS 握手过程中，实际上发送了自己伪造的证书给浏览器，而这个伪造的证书是能被浏览器（客户端）识别出是非法的，于是就会提醒用户该证书存在问题。...在这四个步骤中，最开始客户端只信任根证书 GlobalSign Root CA 证书的，然后 “GlobalSign Root CA” 证书信任 “GlobalSign Organization Validation...使用抓包工具进行 HTTPS 抓包的时候，需要在客户端安装 Fiddler 的根证书，这里实际上起认证中心（CA）的作用。

3872 0

几幅图，拿下 HTTPS

信息加密：HTTP 交互信息是被加密的，第三方就无法被窃取；校验机制：校验信息传输过程中是否有被第三方篡改过，如果被篡改过，则会有警告提示；身份证书：证明淘宝是真的淘宝网；可见，有了 TLS 协议...为了让服务端的公钥被大家信任，服务端的证书都是由 CA （Certificate Authority，证书认证机构）签名的，CA 就是网络世界里的公安局、公证中心，具有极高的可信度，所以由它来给各个公钥签名...证书链但事实上，证书的验证过程中还存在一个证书信任链的问题，因为我们向 CA 申请的证书一般不是根证书签发的，而是由中间证书签发的，比如百度的证书，从下图你可以看到，证书的层级有三级： ?...在这四个步骤中，最开始客户端只信任根证书 GlobalSign Root CA 证书的，然后 “GlobalSign Root CA” 证书信任 “GlobalSign Organization Validation...这样的一层层地验证就构成了一条信任链路，整个证书信任链验证流程如下图所示： ? 最后一个问题，为什么需要证书链这么麻烦的流程？Root CA 为什么不直接颁发证书，而是要搞那么多中间层级呢？

6032 1

Cloudera数据加密

顾名思义，传输中的数据涵盖了数据的安全传输和中间存储。这适用于所有过程间通信，在同一节点内或节点之间。有三种主要的沟通渠道： HDFS透明加密：使用HDFS透明加密加密的数据是端到端的保护。...使用由受信任的公共CA签名的证书可以简化部署，因为默认的Java客户端已经信任大多数公共CA。...从受信任的著名（公共）CA（例如Symantec和Comodo）中获取证书内部CA签署的证书如果您的组织有自己的证书，请从组织的内部CA获取证书。...使用内部CA可以降低成本（尽管集群配置可能需要为内部CA签名的证书建立信任链，具体取决于您的IT基础结构）。自签名证书不建议用于生产部署。...当客户端连接到SSL服务器守护程序时，服务器会将在启动时加载的证书传输到客户端，然后客户端使用其信任库来验证服务器的证书。有关为CDH服务设置SSL / TLS的信息，请参阅适用的组件指南。

2.4K1 0

如何建立TLS连接？TLS握手失败可能这个原因！

如客户端存有根证书和它签发的中间证书，那由中间证书签发的叶子证书，就可被客户端信任了，也就是这样一条信任链：信任根证书 | 信任中间证书 | 信任叶子证书 3种信任链： case1...因为从前面strace openssl输出发现，客户端本地也有中间证书且过期的：这两张中间证书，签发机构是同一个CA，证书名称也相同，这就导致了OpenSSL在做信任链校验时，优先用了本地的中间证书...TLS证书链 TLS的信任是通过对证书链的验证：信任根证书 -> 信任中间证书 -> 信任叶子证书本地证书加上收到的证书，就形成了证书链，如果其中有问题，那么证书校验将会失败。...Trust store 它是客户端使用的本地CA证书存储，其中的文件过期的话可能导致一些问题，在排查时可以重点关注。...你认为客户端会信任这个证书链吗？如果客户端缺少根证书，那么客户端将无法验证证书链的完整性和真实性。在这种情况下，客户端将无法信任该证书链，即使客户端拥有中间证书。

9174 0

NAT网关异地灾备思路

代理服务器概述代理服务器分类代理服务器是计算机网络中的中间服务器，它充当客户端和目标服务器之间的中继，执行请求和响应的传递。...HTTP/HTTPS正向代理选型按照客户端是否感知分类透明代理，客户端无需做特殊设置，如企业网络链路中的Web Gateway设备。普通代理，客户端（在浏览器中或者系统环境变量）需指定代理服务器地址。...按照是否解析HTTPS分类隧道代理，直接透传请求。中间人代理，代理服务器解密HTTPS流量，对客户端利用自签名证书完成TLS/SSL握手，对目的服务器端完成正常TLS交互。...在客户端-代理-服务器的链路中建立两段TLS/SSL会话。...注：这种情况客户端在TLS握手阶段实际上是拿到的代理服务器自己的自签名证书，证书链的验证默认不成功，需要在客户端信任代理自签证书的Root CA证书。所以过程中是客户端有感的。

3184 0

详解 HTTP2.0 及 HTTPS 协议

在证书体系中CA证书的根证书非常重要，假如一个人拿到了CA的根证书私钥，那理论上就可以以上帝视角，解密HTTPS数据，通过中间人劫持，篡改数据。...所以目前的CA根证书具有非常高的安全要求，一个CA的机构，想要通过审查，私钥起码有365天 x 24小时无间断的保安巡逻。...问题解析：操作系统中通常都包含了受信任的CA，但是很多证书通常不是由CA直接签发的。而是使用中间层证书进行签名。...这就会导致如果你部署的证书中没有包含中间层证书，就会因为证书链不全而不被信任，当然chrome和火狐两大主流的浏览器中已经包含了大多的中间层证书所以访问时没有问题，但是像安卓的各种发行版里面的浏览器，未必包含二级证书...，如果web服务端没有包含中间证书且使用的浏览器中也没有包含中间证书，就会导致信任问题。

2.5K0 0

数字证书 CA_数字证书申请

一般来说，CA必须是所有行业和所有公众都信任的、认可的。因此它必须具有足够的权威性。就好比A、B两公司都必须信任C公司，才会找 C 公司作为公章的中介。...因为你不是权威的CA机关，你自己搞的证书不具有权威性。比如，某个坏人自己刻了一个公章，盖到介绍信上。但是别人一看，不是受信任的中介公司的公章，就不予理睬。坏蛋的阴谋就不能得逞啦。...# 是否启用TLS, 默认不启用 certfile: # TLS证书文件 keyfile: # TLS密钥文件 clientauth: # 客户端验证配置...包括父CA的地址和名称、登记信息、TLS配置等. # 注意: 当intermediate.parentserver.url非空时, 意味着本CA是中间层CA服务,否则为根CA服务 intermediate...: # 签发所用的profile label: # HSM操作中的标签信息 tls: # TLS相关配置 certfiles: # 信任的根CA证书

3.4K2 0

HTTPS的原理

利用对应 CA 的公钥解密签名数据，对比证书的信息摘要，如果一致，则可以确认证书的合法性，即公钥合法； f.客户端然后验证证书相关的域名信息、有效时间等信息； g.客户端会内置信任 CA 的证书信息(包含公钥...)，如果CA不被信任，则找不到对应 CA 的证书，证书也会被判定非法。...，自己为自己签名，即自签名证书； d.证书=公钥+申请者与颁发者信息+签名； 3.3 证书链如 CA 根证书和服务器证书中间增加一级证书机构，即中间证书，证书的产生和验证原理不变，只是增加一层验证，只要最后能够被任何信任的...服务器证书、中间证书与根证书在一起组合成一条合法的证书链，证书链的验证是自下而上的信任传递的过程。...二级证书结构存在的优势： a.减少根证书结构的管理工作量，可以更高效的进行证书的审核与签发； b.根证书一般内置在客户端中，私钥一般离线存储，一旦私钥泄露，则吊销过程非常困难，无法及时补救； c.中间证书结构的私钥泄露

8681 0

移动端防抓包实践

（因为数字签名中使用了消息摘要，其他人篡改的消息无法通过验证） Https三阶段分别是： 1.CA 证书校验：CA 证书校验发生在 TLS 的前两次握手，客户端和服务端通过报文获得服务端 CA 证书，客户端验证...抓包Https有两个突破点 CA证书校验是否合法；数据传递过程中的加密和解密。如果是要抓包，则需要突破这两点的技术，无非就是MITM(中间人)伪造证书和使用自己的加解密方式。...握手过程正式完成，客户端与服务器端就这样建立了”信任“。在之后的正常加密通信过程中，charles如何在服务器与客户端之间充当第三者呢？...尤其可知抓包的突破口集中以下几点第一点：必须链接代理，且跟Charles要具有相同ip。思路：客户端是否可以判断网络是否被代理了。...缺陷：服务端需要存储客户端证书，一般服务端会对应多个客户端，就需要分别存储和校验客户端证书，增加校验成本，降低响应速度。该方案比较适合对安全等级要求比较高的业务（如金融类业务）。

1.6K1 0

Golang TLS双向身份认证DoS漏洞分析（CVE-2018-16875）

TLS服务器在8080端口监听TLS客户端请求，验证客户端证书是否由证书颁发机构（CA）颁发： 1caPool := x509.NewCertPool() 2ok := caPool.AppendCertsFromPEM...验证场景中，TLS客户端会连接到TLS服务器的8080端口，然后向服务器提供证书的“trust chain”（信任链），其中包括客户端证书、root CA证书以及中间所有CA证书。...TLS服务器处理TLS握手，验证客户端证书，检查客户端是否可信（即客户端证书是否由服务器信任的CA签名）。...如果需要验证客户端证书，服务器就会创建一个VerifyOptions结构，其中包含如下信息： root CA池，即已配置的一系列可信CA（由服务器控制），用来验证客户端证书中间CA池，即服务端收到的一系列中间...六、缓解措施 Go语言社区已经通过如下措施修复该问题：在findVerifiedParent()证书池查找过程中移除签名检测逻辑限制签名检测次数，最多检测100个中间CA（实际信任链中很难看到这种情况

1.1K3 0

蚂蚁区块链第9课 SSLTLS工作原理及在蚂蚁BAAS中的应用

(图一中server.req就是csr请求文件) 2）审核信息：CA通过线上、线下等多种手段验证申请者提供信息的真实性，如组织是否存在、企业是否合法，是否拥有域名的所有权等。...（图一中生成server.crt） 4）返回证书：client如果请求验证服务器，服务器需返回证书文件。...客户端然后验证证书相关的域名信息、有效时间是否吊销等信息。 客户端会内置信任CA的证书信息(包含公钥)，如果CA不被信任，则找不到对应 CA的证书，证书也会被判定非法。...3.3.2 ca.crt、client.key、client.crt使用当客户端需要与 BaaS 平台建立 SSL 连接，需准备三个证书文件：ca.crt、client.key、client.crt...trustCa - 存储 CA 证书的 trustStore -通过 BaaS 平台下载，trustCa 文件密码为 mychain。

1.6K3 0

安全规则

CA5362:反序列化对象图中存在潜在引用循环反序列化不受信任的数据时，处理反序列化对象图的任何代码都需要在处理引用循环时不进入无限循环。...CA5363：请勿禁用请求验证请求验证是 ASP.NET 中的一项功能，可检查 HTTP 请求并确定这些请求是否包含可能导致跨站点脚本编写等注入攻击的潜在危险内容。...CA5367:请勿序列化具有 Pointer 字段的类型此规则检查是否存在带有指针字段或属性的可序列化类。...CA5380：请勿将证书添加到根存储中此规则会对将证书添加到“受信任的根证书颁发机构”证书存储的代码进行检测。...CA5381：请确保证书未添加到根存储中此规则会对可能将证书添加到“受信任的根证书颁发机构”证书存储的代码进行检测。

1.8K0 0

一文彻底搞懂 HTTPS 的工作原理！

，github会根据网站上存储的公钥来识别我们的身份。...根CA如GlobalSign就在我们的可信任的CA列表里，你的浏览器或者操作系统含有GlobalSign的公钥。...当然还需校验证书中服务器名称是否合法以及验证证书是否过期。 ?...那聪明的你肯定也想到了，如果你开发了一个系统还在测试阶段，还没有正式申请一张证书，那么你可以为服务器自签名一张证书，然后将证书导入客户端的CA信任列表中。信任链机制 ?...因为我们的浏览器信任GlobalSign Root CA，根据信任链机制，你相信了根CA颁发的证书，也要相信它签名的子CA颁发的证书，也要相信子CA签名的子子CA的证书…而我们通过一级级的校验，如果从根证书到最下层的证书都没有被篡改过

1.9K3 1

【ASP.NET Core 基础知识】--安全性--SSL和HTTPS配置

客户端在验证服务器证书时，需要检查中间证书是否由受信任的根证书签发，以确保服务器证书的可信度。根证书（Root Certificate）：根证书是证书颁发机构的顶级证书，它用于签发中间证书。...根证书被浏览器和操作系统内置，作为信任的根源。客户端使用根证书来验证中间证书的真实性。如果中间证书由受信任的根证书签发，那么客户端就可以信任服务器证书。验证证书链的过程通常称为证书链验证。...在SSL/TLS握手期间，客户端会收到服务器证书，然后使用本地存储的根证书来验证服务器证书的真实性。如果根证书与中间证书形成的链完整且有效，则客户端将信任服务器证书，并建立安全连接。...--trust 参数用于将证书添加到操作系统的受信任根证书存储中。...5.2 与Apache集成要在Apache中集成SSL和HTTPS，你需要执行以下步骤：获取SSL证书：从受信任的证书颁发机构（CA）获取SSL证书。

730 0

透过 Rust 探索系统的本原：安全篇

使用 Charles Proxy 时，需要在操作系统级「信任」其根证书，这是证书验证的流程所决定的。...你大概率不知道： TLS 支持 client certificate - 也就是说不光客户端可以验证服务器是否是我要连的服务器；服务器也可以验证客户端是否是我（的 CA）签署的客户端。...客户端验证服务器时，除了可以通过系统的根证书验证，也可以预置一个 CA 证书来验证服务器的证书是否由该 CA 签署。证书是个什么鬼？...你可以生成自己的 CA cert（自签名），然后用 CA key 签名 Server cert。你的客户端在启动 TLS 连接时，信任你自己的 CA cert 即可。...你甚至还可以通过你的 CA 给每个客户端签名，让服务器也同时验证客户端是你信任的客户端。如下图所示： ?

1.1K2 1

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云