MacBook Pro 13″, macOS 11.4
Apple 刚好有一篇文档来说明这个事儿。
Apple 刚好有一篇文档来说明这个事儿。
可以打开【钥匙串访问.app】,左边栏里面有系统根证书。
macOS 系统自带的都是业界公认和 Apple 自己的根证书,也是操作系统认可的,比如,Apple Root CA, 以及 DigiCert, VeriSign, Visa, Amazon 的等等。有了这些根证书,只要是用他们签发的其它证书,系统验证后就认为是可信的证书。否则,比如 使用 https 浏览网页,如果网站没有用这些公认的证书签发的,macOS 系统(Windows 也一样)不认为是安全的,就会询问用户是否认可接受。如果网站都这样,就没有良好的体验了。
本机的系统管理员也可以创建、添加可信任的证书。比如公司内部的证书,就可以使用这个机制。
所以【钥匙串访问.app】中系统根证书是 macOS系统自带的,那Safari浏览器在校验服务器的时候是用的macOS系统自带的这些根证书吗?
有没有一种可能,我把macOS系统的这些根证书给删了或者换了(我记得windows是可以在网上下载操作系统,然后给自己电脑装的,这样操作系统就不可信了,操作系统里内置的数字证书也就不可信了,那macOS可以这样自己下载然后自己装吗?),这样不就不可信了吗?
这个文档好,以前没有注意过。
你這個問題我建議你去了解一下密碼學, 非對稱加密及證書信任鏈相關的內容
新版 macOS 中,系统的根证书在只读文件宗卷中,一般人改不了。
其实,也没有必要非得改系统的根证书,本机管理员可以给系统添加可信任的证书,用户自己可以给自己添加可信任证书。它们分别保存在不同的地方,作用于不同的范围(域)而已。Windows 也是一样的。
关于数字证书的一些疑惑
