SSL预证书是用于证书透明度(CT)另一种特殊类型的SSL证书。SSL预证书与日常的SSL证书有所不同,SSL预证书并不是用于经过考证效劳器身份后生成HTTPS链接,而是允许将证书透明度数据直接嵌入到最终SSL证书中。
SSL预认证证书与传统SSL证书不同,SSL预证书很少直接显现给最终用户,所以用户并不能正确判别本人的证书能否存在SSL预证书。
SSL预证书工作原理
1、证书颁发机构(CA)向客户签署并颁发SSL证书时。该SSL证书必需要契合阅读器的CT战略,所以CA需将证书提交CT日志。
2、CA机构提供CT日志有多种方式,其中假如他们想将证书的CT日志直接嵌入最终的SSL证书,那么就需求运用SSL预证书。
3、CA在签署最终证书之前,首先要创立一个预认证,其中该证书包含CT日志的数据,格式为指定格式,否则将被视为无效证书。
4、CA将预认证提交到CT日志并接纳SCT(签名证书时间戳)。这是一个日志签署的文件,可用于证明客户端证书已被记载。
5、CA的SCT,能够将其放入最终的证书,并将其作为签名数据的一局部。CA发布最终证书,SCT可嵌入其中。
6、最后,客服端能够部署证书,并证明他们的证书中包含了CT合规性。这是包含SCT的最佳办法。
假如用户搜索证书透明度日志,就可能会遇到预证书,但不能检查其关联络的(有效的)证书。由于CA不需求将后续证书提交到日志。即便预认证不被客户视为有效,但是依然保存相同的发行规范。最新的CT RFC规则,“预认证的错误同等于最终证书的错误。”