ssltrust.com/blog/understan… #TIL
cross-signing x.509 certificate Image
letsencrypt.org/certificates/

letsencrypt 也提到自己更换了 root CA,但是使用了 cross-sign 来保证其签发的 leaf cert 的兼容性。
x.509 证书通过非对称签名的信任链(certification path)来证明 leaf cert 的可信性,即递归地使用上一级证书的公钥来校验当前证书的签名。

所以,任何一个非 root ca 证书,其实可以有任意多个可证明自己的上游证书,只要这些上游证书都具有相同的公钥。
假设有 ca-1,现在想要迁移到 ca-2,但是希望签发的 leaf cert 能同时兼容两个 ca。

那么最简单的做法就是,使用 ca-1 的私钥,来生成 ca-2-csr,然后签发 ca-2。这样无论是 ca-1 还是 ca-2 签发的 leaf cert,都能被只信任 ca-1 的旧设备,或只信任 ca-2 的新设备所接受。
但是复用私钥不是个好主意。

所以更好的办法可能是,生成一个 ca-2 的新私钥,然后生成 ca-2-csr,然后用 root-ca 和 ca-1 生成两个新的 intermedia-ca-2。

签署 leaf cert 时,把这两个 intermedia-ca 都塞进证书链里。

这样就实现了私钥的更新,同时也兼顾了 leaf cert 的兼容性。
综上,cross-sign 的核心在于:一个 leaf cert,多个 ca。

然后我让智障 gpt 给我写个 cross-signing 的代码,它用两个 intermedia-ca 给我签了两个 leaf cert… Image
这是 letsencrypt 的两个 cross-signing ca,可以看到它们有完全相同的公钥(即是用同一个私钥生成的 CSR)。

1. crt.sh/?id=3334561879
2. crt.sh/?id=3479778542

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with เชียงใหม่🇹🇭

เชียงใหม่🇹🇭 Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @ChiangMaiGreat

Feb 13
zionlights.substack.com/p/everything-i… #TIL

Everything I believed about nuclear waste was wrong

昔日的反核电斗士幡然醒悟,意识到核能其实是最安全最环保的能源。
全球因石油化工污染而损失的寿命。看上去印度和中国是重灾区。

中国人还天天嘲笑日本那微乎其微的核辐射,也不看看大气污染导致的寿命减少比日本最严重的辐射区还要恐怖… Image
核电产业的核废料其实很少,绝大部分是低危害的低辐射废物,核电的废物辐射量要低于普通化工废料的一千倍才会被视为普通废物。
如日、法等回收核废料的国家,对核燃料的利用率高达 96%。全世界的高危核废料堆在一起,只够放满一个足球场,高度大概 9 米。这些废料的辐射在 40 年后就会衰减为千分之一。 Image
Read 7 tweets
Feb 11
读了本 97 年出版的地缘政治的书,预测到了波罗的海诸国、波兰、土耳其加入北约,俄罗斯试图再度吞并乌克兰,以及东欧原苏联加盟国对俄罗斯的激烈反抗。
俄罗斯如果走上民主化进程,本来是可以逐步向西方靠拢,最终甚至可以考虑加入欧盟和北约。

然而俄罗斯最终还是变回了专制帝国,走上了和西方抗衡,试图复兴苏联版图的侵略扩张路线。

中国崛起后,很可能通过中、俄、伊朗轴心组成横跨欧亚大陆的国际势力集团。
德国曾被视为欧洲的东部边疆,是西方文明抵御东方入侵的桥头堡。而随着欧洲一体化建设,波兰、匈牙利、捷克、斯洛伐克、罗马尼亚、波罗的海诸国被纳入欧盟和北约。
东西方冲突前线成了欧俄关系。德法都试图充当俄国和西方沟通的代理人,然而这其中的深层矛盾还是那些原苏联加盟国的民心问题
Read 15 tweets
Feb 8
cloudflare 真是中国人的普罗米修斯😂,数字移民的最强中介。

出中国用 cf cdn,入他国境用 cf warp。
以前翻墙指的是中国人需要穿透中国政府对外网的封锁,偷偷去窥视墙外的世界。

如今的翻墙在除此之外,还需要穿透各国软件服务商对境外用户的封锁,假装自己是该国的原住居民。

太难了。
warp 虽然好用,但是问题也很多。

不开源,默认启用 DEBUG 日志,而且全部往 syslog 打,重度使用的话,一天能搞出几十 GB 的日志,还关不掉…
Read 4 tweets
Feb 3
说实话不太理解中国搞这种没什么实际用途的纯挑衅行为干什么?
气象探空气球不会挂那么大的设备,而且美国声称该气球有导航能力。
随便找个借口糊弄糊弄拉倒,反正一切空间间谍设备本质上都是气象科研设备。
Read 20 tweets
Jan 20
nature.com/articles/s4157… #TIL 关于长新冠的研究
约有 10% 的新冠患者会出现长新冠症状,部分症状可能伴随终身,这导致了目前面临的劳动力短缺。

西班牙裔、拉丁裔、患病后无法充分休息的人更可能遭受长新冠(留下贫穷的泪水😢)。
长新冠导致的认知障碍(脑雾)风险随时间推移而增加,至少持续两年以上(目前只有两年数据)。
Read 5 tweets
Jan 18
如果满足于“一流”称呼的媒体只知道把政府机关公布的“公共”信息照本宣科地报道出来,当消息来源本身有问题时,报道会被扭曲得有多可怕?当消息来源发布错误信息时,“一流”媒体强大的力量,会将多少事物践踏殆尽? Image
调查记者是真的牛逼! Image
若说敌人是跟踪狂,咱们摄影周刊从某种意义来说,就是职业跟踪狂。专业人士组起队来,不可能输给业余跟踪狂。

“松原号”的外观完全就是一辆普通的厢型车,车窗贴着黑膜,内侧更以窗帘遮蔽。不仅无法轻易看到车内,后车座还拆掉,改造得可以放置大型三脚架,经得起长时间的远距离摄影,完全就是跟监专车
Read 8 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(