引用：inthendsun 发表于 2021-10-02 13:30
评论里大家说的很对。

就像我们的毕业证书，证书本身的真假由机构保证。 然而持证人和证书的关系只能靠  ...

这类比思路。。。 厉害啊

评论里大家说的很对。

就像我们的毕业证书，证书本身的真假由机构保证。 然而持证人和证书的关系只能靠 HR 来识别，如拿证书的人的照片，和毕业证的照片是否一致； 拿证书的人的身份证号，是否和证书的身份证号一致等等。

我理解11、12步是有意义的：为了验证证书本身的正确性，并且对证书上域名的匹配也不能少。

引用：hmtabc 发表于 2019-08-12 18:18
11、12章节的内容不正确。解决同一机构颁发的不同证书被篡改，用比对数字签名的方法是不行的。因为第三方机 ...

我还纠结大半天，中间人的证书也是真的。这样是不行的

引用：hmtabc 发表于 2019-08-12 18:18
11、12章节的内容不正确。解决同一机构颁发的不同证书被篡改，用比对数字签名的方法是不行的。因为第三方机 ...

有道理

11、12章节的内容不正确。解决同一机构颁发的不同证书被篡改，用比对数字签名的方法是不行的。因为第三方机构是真实的并且是同一个，用来掉包的证书也是真实的，你自己计算的数字签名（证书编号）肯定和证书上记载的是一致的。

解决这个问题的唯一方案是验证证书的域名是否和要访问的域名一致。

这样子的吗