希望能有更多的信任分散出去,这样我们就不必在任何情况下都依赖于一个根证书。
一个证书能否由多个CA签名?
希望能有更多的信任分散出去,这样我们就不必在任何情况下都依赖于一个根证书。
一个证书能否由多个CA签名?
不,X509证书格式在版本3之前的设计中只包含一个签名。
此外,请参见Super User上的是否可能由两个机构签名证书?。
请参见PKIX邮件列表上的具有多个签名者的证书?。 PKIX是由IETF指定的互联网公钥基础设施。
是的,证书可以由多个CA签名。这个术语叫做“交叉签名”。请参阅https://letsencrypt.org/certificates/,了解它的工作原理的良好描述。请注意,在页面顶部的图表中,Let's Encrypt的多个中间证书由两个根证书(ISRG Root X1和DST Root CA X3)签名。此外,请参见https://security.stackexchange.com/questions/14043/what-is-the-use-of-cross-signing-certificates-in-x-509获取更多信息。