1
Какова длина самого длинного certificate chain до даты?Какова максимальная длина цепочки сертификатов?
Я хочу знать количество органов сертификации в этой цепочке, а не размер цепочки сертификатов.
A
ответ
-1
К сожалению, такой вопрос не имеет большого смысла, потому что вы можете построить длинную цепочку, как хотите. Некоторые ЦС выдают несколько «уровней» сертификата ЦС, часто с очень разными именами эмитентов, поэтому вы не всегда можете сказать, что это тот же СА (хотя это так).
2
Указанный предел не определен. Однако вы должны создать цепочки как можно короче. На практике это не более 3 уровней СА (где 4-й - сертификат сущности листа).
Это связано с тем, что приложения (это очень специфичные приложения) могут применять ограничения в размере цепочки в байтах. И что более важно, длительное построение цепей и валидация могут привести к блокировке таймаута двигателя. Например, в операционных системах Windows время построения цепочки и времени проверки составляет 15 секунд. Если у вас длинная цепочка, вы можете легко достичь этого значения и получить сертификат доверия, даже если конечная цепочка действительна.
Стоит упомянуть, что длинные цепочки увеличивают административные и управленческие издержки. В зависимости от ваших потребностей я бы предложил пойти с 2- или 3-уровневой иерархией.
Я искал ответ на этот вопрос, чтобы продолжить проверку при создании GUI для SSL. почему вы думаете, что это не имеет смысла? –