如何做一个CA决定，如果实体是可信的

Question

我目前编程认证机构UNI端口类，我目前与创建的证书的概念挣扎。

如何做一个CA通常决定是否应该给一个证书的实体，它足以证明该实体是公钥的所有者签署与他们的私钥的证书请求？

如果不是如何做一个CA通常如果实体是可信的决定？

感谢，

Answer 1

有与不同类型的证书相关联的不同的信任级别。

基本SSL证书：

有一个网站的基本SSL证书，例如，常常是一个自动化的过程 - 通过发送一个唯一的时间过期URL（或代码，必须在在线形式输入）与所述结构域WHOIS相关联的电子邮件地址验证记录。

有关扩展验证：

有关强验证（如SSL“扩展验证”，在那里你看到在现代浏览器一个绿色地址栏的情况下），通常的做法是通过多个信息源相关，以建立所有者的合法性，这样的作为请求的成立/注册公司的详细信息（如邓白氏/公司登记（UK）或同等学历）和域名的whois信息的公用事业账单/证书，以确保他们都完全以相同的地址和公司名称相匹配。

在证书为单个的情况下的驱动程序的复印件与照片或护照经常需要许可证。

通常的做法也回电经由标识的电话确认订单是合法的。的电话号码的合法性通常是基于一个在WHOIS信息，或关于由公用事业公司提供的电话帐单中列出的号码。

有关扩展验证证书的过程典型地是如果不相同的代码签名证书的过程（其中，作为用于记录的电子邮件接触域经常被作为你必须在的WHOIS信息控制域非常相似对）。

从注册处稍有不同处长的，它可以是一个有点非正式的特设有时（因为有些东西，很容易为小公司提供很难在一家大公司弄个，反之亦然等等它们往往是接受多个替代方法）。

Answer 2

一个CA是业务。它通过销售证书赚钱。更证书它卖更多的钱，它将使。 如果CA不验证实体明智，它会失去它的声誉，没有人会愿意支付被它的认证。

通常，CA都这两个相反的力的张力

内操作

Answer 3

我担心你的问题提出了一种严重的误解。

  

是它足以证明该实体是公钥的所有者签署与他们的私钥的证书请求？

是当然不是足以使实体标志的东西用私钥。在CA如何知道使用哪个公钥来验证签名？它必须信任提供它的实体。因此，任何人可以联系CA和说：

  

“我microsoft.com，在这里，我已经与我的私钥签名本。你甚至可以用我的公钥进行检查。现在，你能证明这个公钥属于microsoft.com，请？我会付你$ 1000个！“

（事实上，这一步的必要的，只是没有足够的。如果我没有用私钥签名的东西，然后我可以发送任何公共密钥 - 即使微软 - 对CA和要求他们证明它作为我的。然后，我可以宣称，一些由微软（可能是专利申请）实际上是由我签签！所以CA一定会检查我有对应的私钥则证实在公钥前证书。）

所以，问题是，什么可以在CA做验证请求证书的人的身份？没有人在CA听说过这个实体的！之前

一个简单的选择，即，可以在CA端完全自动化的，是用于提供一个电子邮件地址的实体。 CA将发送挑战（如CA网站在它长的随机数的特殊URL）到该电子邮件地址。如果有人让与该URL服务器发出请求，那么它大概是谁拥有或有权访问的电子邮件地址的人。

您可以试试这个你自己，如果你去Verisign和获取免费试用SSL证书。

在限制是仅关系，该证书可以证明是一个公开密钥和一个电子邮件地址之间。这可能是足以让一些人，但它没有足够的每一个人。

如果我想确信一个特别的证书（或在它的公共密钥）属于说，Elbonia的XYZ公司，因为我对一些敏感的商业信息发送给他们，我想不仅仅是一个更电子邮件地址。我想肯定的是，CA已经做了一些严重的探测。该CA应该接受在信的请求。他们应该使用一个电话号码从电话簿与本公司联系。 （冒名顶替者将必须欺骗电话的人也是如此。）的CA应与企业名称登记机关检查，检查XYZ公司在这个地址注册。他们应该发表一个文件（在它长的随机数）的注册地址。 （这意味着，冒名顶替者将不得不拦截这些邮件。）的CA可派代表参加注册办事处组织的业务，以确认该请求已经取得进展。

所有这些身份检查是耗时且昂贵的。一个CA将收取实体这样的服务。但是，如果实体希望为其客户提供高水平的信心，这个公钥的真正的属于XYZ公司，那么这就是有许多工作要做。

由于伊恩·柯林斯建议，CA可以为那些谁只需要别人小程度的身份验证，以及昂贵的服务便宜的服务。该CA报价将包含已发生身份验证级别的指示证书。一个人使用证书可以看看CA的认证业务声明，以了解这个级别意味着您需要考虑的事务，和身份检查已进行的类型。

最后，CA不作出有关该实体的任何断言可信。请记住，一个证书是一个公开密钥和之间的联系身份。一个CA不只是确保公钥确实是关系到特定实体的检查，而不是有人假冒该实体。该实体可以是相当邪恶！

总之，你不能使用公钥加密来确定一个人的身份，直到的之后的证书已发出。该证书说，CA已经使用了一些的其他的身份检查的形式，并允许其他人依靠该检查。

Answer 4

的实体的识别测定是相当主观的到被认证实体的类型。根据我的经验，申请证书的域名时，例如www.stackoverflow.com，CA将典型地联系的whois提及的技术接触。

可替换地，CA可以提供PKCS＃9密码来可信实体在CSR提供。然后，CA可以检查对列表中的密码，并决定是否请求的实体是合法的，该实体。

Answer 5

恕我直言，在实践中最重要的事情是一个CA的用户（即那些验证证书）明白什么CA是这样，他们可以把适当的信任的证书，并且证书永不再问题相同的标识，以两个不同的实体。

审批工作的用户的身份是重要的，如果在证书中的名称是目标。例如，应包含特定域/主机名称（例如www.example.com）web服务器证书，一个应该确保证书的所有者拥有该域名。