자체 서명과 인증 기관에서 생성 한 인증서의 차이점

Question

자체 서명과 인증 기관에서 생성 한 인증서의 차이점을 알고 싶습니다.

도메인 xyz.com에 대해 자체 서명 된 인증서를 쉽게 만들 수 있으며이 인증서와 CA에서 생성 한 인증서의 차이점은 무엇입니까?

시나리오 xyz.com에 발급 한 인증서로 보호되는 사이트 xyz.com을 가정하고이 사이트에서 발급 한 인증서가 클라이언트에 액세스 할 수 있습니다.

또한 xyz.com에 대한 자체 서명을 만들 수 있습니다. 그런 다음 내 서버가이 위조 된 인증서를 어떻게 처리합니까?

Answer 1

CA의 인증서가 브라우저에 이미 설치되어있는 경우 브라우저에 특정 CA의 서명이있는 인증서가 발견되면 해당 CA가 실제로 서명했는지 확인할 수 있습니다. CA는 일반적으로 인증서에 서명하기 전에 신원을 확인합니다.

자체 서명 인증서는 자신의 CA에서 서명 한 것입니다. 인증서가 속한 것으로 주장되는 사람에게 실제로 속해 있다는 것을 아무도 확인하지 못했습니다. 브라우저에 자신의 CA 루트 인증서를 설치할 수 있습니다. 그렇게하면 인증서에 대한 성가신 경고 메시지를받지 못하게됩니다. 다른 사용자는 일반적으로 자신의 CA의 루트 인증서를 설치하지 않으며 경고를받습니다.

Answer 2

CA는 사용자가 자신이 말하는 사람인지를 일부 확인하므로 사이트를 사용할 때 자신감이 추가됩니다. 자체 서명 된 인증서는 클라이언트의 브라우저에서 완전한 자물쇠를 얻을 수 없습니다.

Answer 3

인증서 자체에는 차이가 없습니다. 중요한 부분은 CA가 신뢰할 수있는 타사 역할을한다는 것입니다. 나는. 클라이언트는 귀하가 누구인지 알지 못하지만, CA를 신뢰하고 CA가 귀하를 보증하면, 귀하를 신뢰할 수 있습니다. 인증 자체가 아니라 CA가 제공하는 신뢰 체인입니다.

Answer 4

다른 답변을 완료하려면 운영 체제에 Microsoft 또는 다른 신뢰할 수있는 기관의 일부 루트 인증서가 기본 설치되어 있어야합니다. 인증서 중 하나가 서명 한 경우 경고가 표시되지 않습니다. OS가 인식하지 못하는 CA가 인증서에 서명 한 경우 경고를 표시합니다.

Answer 5

자체 서명 된 인증서와 CA가 발급 한 인증서의 주요 차이점은 트러스트 체인입니다. 자신의 인증서에 서명 한 다음 자신이나 다른 사람이 인증서를 사용하면 인증서에 서명 한 서버를 특별히 신뢰해야합니다. 이렇게하려면 브라우저의 '신뢰할 수있는 CA 루트'목록 (예 : Firefox 또는 MSIE 또는 Chrome 용 Microsoft의 CAPI 스토어) 또는 Java 애플리케이션 용 cacerts 파일에 인증서를 추가하십시오. 그렇지 않으면 자체 서명 인증서가 신뢰되지 않으며 해당 환경 (예 : Java 또는 특정 브라우저)의 보안 설정이 얼마나 엄격한 지에 따라 "경고"또는 오류 메시지가 표시됩니다.

CA에서 서명 한 인증서를 사용하면 인증서에 서명 한 CA 또는 CA의 신뢰할 수있는 루트 (해당 CA의 인증서에 서명 한 루트) 중 하나가 관련 트러스트 스토어에 이미있는 경우 경고 메시지가 표시되지 않습니다 (즉, Java 용 브라우저 또는 cacerts 파일).Microsoft 및 Oracle (Java 용)은 손상되었거나 취소 된 CA 또는 기관에 대해 신뢰할 수있는 CA 및 관리 CRL (인증서 해지 목록)을 지속적으로 업데이트하고 있습니다.

일반적으로 이러한 신뢰할 수있는 CA (예 : verisign, 위탁 등) 중 하나는 인증서 서명 및 발급에 $$을 부과하고 더 많은 비용을 지불하면 유효 기간이 길어집니다.

자체 서명 된 것이 무료이며 오랜 기간 동안 발행 될 수 있습니다 (권장하지 않음).