如果从服务器维护者处更新 SSL/TLS CA 证书，它将如何在我的设备中更新？

Posted 2023-03-28

【中文标题】如果从服务器维护者处更新 SSL/TLS CA 证书，它将如何在我的设备中更新？

【英文标题】：How the SSL/TLS CA certificate will update in my device if it is renewed from server maintainer?

【发布时间】：2021-09-03 17:45:49

【问题描述】：

如果从网站维护者处更新，SSL/TLS CA 证书将如何在客户端设备中自动更新。

实际上Root CA证书有效期为1年或2年，之后服务器维护者应该去证书颁发机构续订以进一步有效，那么在这种情况下客户端设备如何更新新的更新证书？ p>

我可以从网站上得到一些答案，比如如果证书过期，我们会收到一些警告消息和数据通信也是纯文本，这样它就容易受到中间人攻击。

谢谢！

【参考方案1】：

你的问题有很多不清楚的地方——例如，这个需要（或不需要）固件升级的“设备”是什么——所以我会笼统地回答。

是的，最简单的描述方式就是固件升级。如果预计设备需要根据众所周知的根证书集进行检查，这也将通过升级该集来实现。它取决于操作系统和分布它是如何实现的；例如在非嵌入式 Linux 发行版中，它以名为“ca-certificates”或类似名称的包的形式出现。该软件包提供了 PEM 形式的证书目录，或连接证书的单个文件，或两者兼而有之。包的升级独立于其他组件，除了数据表单上的可能关系。

在某些情况下，证书（作为其主题、公钥和属性的组合）以两个版本提供：自签名 - 用于新更新的用户，以及由以前的证书签名 - 用于具有旧证书数据库。根据客户端软件，它可能会发出过期警告，如果旧 root 已过期，也可能不会。

一些根证书的寿命很长（20-30 年），但仅用于签署寿命为几年的二级证书；后者又用于最终用户证书（作为 Web 服务器）。在这种情况下，您根本不需要做出反应。

【讨论】：

谢谢 Netch，能否请您解释一下浏览器是如何从 CA 获得二级证书的。

Firefox/chrome 是否从任何 CA 存储中获取所有 CA 证书。我的疑问就像我们如何分发给所有用户的 CA 证书

@rammohan 如果您需要自己的 CA 证书...这是在大量计算机之间进行任何设置部署的一般问题。自己的证书可以安装在相同的目录中。