查看單個文章
  #9  
舊 2018-07-29, 11:38 AM
Ricado 的頭像
Ricado Ricado 目前離線
進階會員
 
註冊日期: 2004-07-13
住址: 蕃薯島,打狗城
文章: 4,454
預設

可能要釐清一些核心的觀念。

憑證的格式是公開標準,任何人都可以產生憑證。
只要符合標準格式的憑證,都可以用簽署的工具將憑證內容寫進檔案的標頭位置。

所以 XXX 發的憑證也可以簽,這個沒有太大意義。
不能簽的原因是很多的開發工具預設會幫您擋掉非 CA 核發的憑證。

憑證的用途是在於【信任】。

用在伺服器上面,必須要瀏覽器的信任。如果瀏覽器不信任這個憑證,就算大公司核發的也沒用。這也是 Symantec 被 Chrome 逼到必須把憑證部門賣給 DigiCert 的原因。

軟體簽章的憑證,主要就是作業系統的信任。惡意程式在網頁上所能做的事,惡意程式在電腦上所能做的事,權限差非常多。所以作業系統對 code signing 的要求會更高。這個就是檢視各家憑證核發嚴謹度的考量。
同樣是 OV ,各家審核的條件不同,這些程序都是必須公開的。其中 Symantec,原來的 VeriSign,所有的簽章憑證都必須執行實質的審查,和 EV 一樣,這一部分比 Comodo 嚴謹很多。Comodo 幾乎是比照伺服器憑證的審查流程。到目前為止,微軟針對軟硬體商送測的軟體或是driver所要求的憑證,並不包含 Comodo。

關於憑證的傷害,有興趣的可以看一部紀錄片,Zero Days 零日網路站。
裡面的主角,美國 CIA、以色列,苦主伊朗、台灣兩個科技"大"廠。
簡單的說,台灣科技大廠的憑證被偷,簽了惡意軟體,因此能躲過作業系統的防護。
回覆時引用此篇文章