¿Es mejor el certificado SSL, un certificado de Nivel 3 o un certificado de Nivel 2? ¿Cuál es la diferencia?
El "certificado de tercer nivel" mencionado aquí solo se refiere al certificado SSL del usuario emitido bajo la "Autoridad de certificación intermedia" en "Autoridad de certificación raíz confiable", y el "certificado" de segundo nivel solo se refiere al certificado SSL de un usuario que se emitió directamente bajo una "Autoridad de certificación raíz de confianza". Dos niveles diferentes de certificados SSL tienen cada uno sus propios beneficios:
1 Hay dos razones principales por las que el certificado de segundo nivel es bueno
1. para instalar y no es necesario instalarlo. Certificado raíz intermedio
2. En segundo lugar, acelerará el proceso de negociación de cifrado SSL
2. Hay dos razones por las cuales los certificados de nivel tres. son buenos
1. Nivel tres La seguridad del certificado es mejor porque la CA puede poner el certificado raíz de nivel superior fuera de línea en un lugar seguro, y el certificado emitido en línea es el certificado raíz intermedio. Si el certificado raíz intermedio está comprometido, también se puede emitir un certificado raíz intermedio desde el certificado raíz de nivel superior para volver a emitir certificados a los usuarios. Sin embargo, si al certificado raíz de nivel superior se le permite emitir certificados en línea, una vez que se destruya el certificado raíz de nivel superior, será una pérdida catastrófica, lo que hará que la CA ya no pueda emitir certificados, porque el certificado raíz no se puede restablecer. y el certificado raíz restablecido ya no es el certificado raíz original
2. La emisión de certificados bajo el certificado raíz intermedio reducirá en gran medida la capacidad de la lista de revocación de certificados, acelerando así la verificación del certificado raíz. validez del certificado SSL cada vez. Además, instalar un certificado bajo un certificado raíz intermedio es en realidad tan fácil como instalar un certificado secundario, porque generalmente los certificados emitidos por certificados raíz intermedios admiten el formato PKCS#7 (el certificado ya contiene el certificado raíz intermedio).
Según los documentos del servicio de certificados relevantes en el sitio web de Microsoft, Microsoft cree que: para la seguridad del certificado raíz, se debe usar un certificado raíz fuera de línea para crear una jerarquía de certificados, y se deben usar certificados para diferentes propósitos. Utilice diferentes certificados raíz intermedios emitidos. Al mismo tiempo, la jerarquía de las autoridades de certificación también proporciona beneficios de gestión, que incluyen:
La configuración flexible del entorno de seguridad de la CA logra un equilibrio entre seguridad y disponibilidad, como la fortaleza de las claves, la protección física y la protección de la red contra ataques. Por ejemplo, puede optar por utilizar hardware de cifrado de propósito especial en la CA raíz, operarlo en un enclave físicamente seguro u operarlo sin conexión.