Chromium https 数字证书验证

Posted 2023-04-18

参考技术A x.509是现行的数字证书标准，几乎绝大多数数字证书使用，且https中的tls(ssl)验证的证书就是使用的就是x.509证书。

X.509证书现在已经到了第三版本，每下一个版本字段都会有增加，一增强其安全性。

1 使用黑名单检查证书，即证书已被吊销，便返回

IsBlacklisted函数使用被吊销证书列表检查该证书的serial number(序列号)和主体名(subject->common_name)两个字段来确定证书是否有效。

2 通过底层库检查证书

VerifyInternal函数将取决于使用的底层库。在windows中这个函数会创建证书链来验证证书是否有效，从签署证书的信任根CA一直到被验证证书。

(1). 获取证书密钥用法，并设置检验方式

普通证书秘钥用法类型使用OR，满足其一即可。如果是EV证书(扩展验证模式)，则需要严格验证，秘钥用法类型必须用AND类型，即必须满足所有的秘钥用法策略。
(2). 生成证书链

如果不能生成证书链，则直接返回失败，验证失败。证书过期、签名验证等在 RFC3280 和 RFC5280 中定义的检查将会在此处进行，如果证书由问题，将不能生成证书链。
(3).使用证书吊销列表检查证书是否被吊销

CheckRevocationWithCRLSet函数将证书链从根证书遍历到尾(被验证证书)，检查每个证书的序列号的公钥信息是否被吊销。
(4). 如果密钥用法与增强密钥用法不匹配，则将密钥用法置空。

(5).证书链中证书是否脱机或过期。

(6). 验证主体名称中common_name字段是否是空字符。

(7). 验证策略。

windows的CertVerifyCertificateChainPolicy函数检查证书链中的策略信息。
(8).验证主机名与本证书是否匹配

VerifyNameMatch函数验证提交证书的hostname是否与证书中的subject字段的common_name，dns_names，ip_addrs所匹配。
(9). 验证扩展验证证书。

CheckEV函数通过检查证书中的策略限制(Extension->certificate policies)来检查EV证书。

3 检查公钥是否被禁用

在第2步中会将公钥取出来，在这一步中验证是否有公钥被禁用。
4 检查common_name, dns_name是否被限制

5 检查是否为可信CA签发

6 检查证书链中的弱密钥

7 证书签名算法检查

8 检查hostname是否唯一

9 检查证书有效期是否太长

https证书验证的基本方法

https证书是一种数字证书，这种证书的主要作用是保护网站的信息安全，此时就能够提高网站的安全性。不过，网站配置了https证书之后一定要进行https证书验证，这种情况下的安全性是很高的。但是，https证书验证的方法是什么呢？

https证书验证的相关方法：

验证https证书的目的是为了让网站的安全性更加的高，所以验证的是一定要使用正确的方法。一般情况下，从https证书的加密形式来验证是很好的。该证书主要有对称加密以及非对称加密。因此，验证的时候直接从加密的形式来验证就可以了，大家可以在蔚可云申请ssl证书的。

从这两个方面验证是很不错的，这两个加密形式能够轻松的展现https证书的作用，也可以让大家知道该网站的安全性，避免不安全的情况出现。所以，验证的时候使用这两个方法是很好的。ssl证书哪里申请

https怎么验证证书呢：

验证的时候服务器用RSA生成公钥和私钥，验证的时候可以将公钥放在证书当中发送个客户端，然后将私钥自己保存。

接着客户端就会先向一个权威的服务器检查证书的合法性，一旦证书是合法的，就可以产生一个随机数，这个随机数就能够作为通信的密钥。然后再使用公钥加密这段随机数，然后再按照要求发送到服务器当中去，此时https证书的验证就结束了。

https证书验证的时候按照这个方法是很合理的，能够有效的保护网站信息安全，因此进行https证书验证的时候一定要注意使用这个方法。

出现HTTPS证书错误的原因是什么：

HTTPS证书的安全性是很高的，该证书能够很好的去保护网站信息安全，避免信息在传输的过程中被一些不法分子盗用。因此，给企业配置HTTPS证书是很重要的。不过，出现HTTPS证书错误的原因是什么呢？

其中比较大的一个原因是网站中毒，一旦网站中毒了，HTTPS证书就会出现错误。所以，此时的解决方法就是利用杀毒软件将网站当中的杀掉，此时就可以重新去保护网站信息安全。