我是这样做的:
- 使用Google Cloud创建新的证书颁发机构 <
- 创建证书/gh>
- 在云控制台查看证书
- 在扩展名下我可以下载证书和CA证书
这两个链接都使用http://和现在的https://,这对我来说是不安全的。
为什么谷歌不保护他们的HTTPS url ?
因为证书总是经过签名的,所以使用HTTPS不会为证书的发布添加任何内容,有时还会阻止其他服务使用该证书。
RFC 5280的第104页定义了X.509证书应该是什么样子,它回答如下:
ca不应该包含指定https, ldap或类似的uri扩展中的方案。在其中之一中包含https URI的ca扩展必须确保服务器的证书可以被验证而不使用URI所指向的信息。依赖选择验证服务器证书的各方的https URI所指向的信息cRLDistributionPoints、authorityInfoAccess或subjectInfoAccess扩展必须为这种可能的结果做好准备在无界递归中
它还有助于防止循环依赖。如果客户端需要建立一个HTTPS连接来构建一个链,而这个链本身可以用来验证HTTPS连接,那么他们可能会进入一个无限循环。这里也不需要HTTPS,因为,正如我上面提到的,从该URL下载的CA证书必须由另一个受信任的CA签名,因此它的完整性得到了保护。