CA 机构不会间接应用根证书签发服务器 SSL 证书,因为这种操作存在风险性。如果产生谬误颁发或者须要撤销根证书,则应用根证书签名的每个证书都会将不受信。所以又创立了两头证书。
根证书、两头证书、SSL 证书的有效期时长是不一样的。查看服务器证书是很简略的,个别能够间接点击地址栏旁的平安锁就能够看见该网站 SSL 证书的有效期。
如何查看根证书、两头证书、SSL 证书有效期?
然而要查看该 SSL 证书链上的根证书和两头证书的有效期,能够用 SSL 证书检测工具,能够看到残缺证书链信息,包含他们的有效期时长。
如上图,AAA Certificate Services 根证书的有效期约 10 年,两头证书也是 10 年,并附上了残余时长。而最终网站应用的服务器 SSL 证书的有效期是 1 年多一点。
为什么是 1 年多一点?起因在于 CA/ B 论坛最新规定了 SSL 证书的有效期时长不能超过 398 天,局部 CA 是 1 年的有效期,而后有赠送了 30 天有效期,比方 sslTrus(锐安信)。
不论哪个 CA 签发的 SSL 证书,根证书和两头证书的有效期都比最终 SSL 证书时长短。根证书和两头证书的有效期个别是 10 年,而 SSL 证书的有效期是 1 年,缩短 SSL 证书的有效期目标是为了晋升网站的安全性。这也是服务器 SSL 证书的职能所在!