宣布「盖子 CA」

很多时候，去大型正规 CA 机构获取证书是不现实的，包括但不限于：测试
应用、私人服务器。然而，单独为这些使用场景每次都现生成一个自签名证书
不便于管理：你必须手工核对大量的自签名证书指纹。

「盖子 CA」是比尔盖子为了对自己的自签名证书进行统一管理，解决其签名证书混乱
，而自行设立的个人 CA。当然了，这个 CA 是不被任何厂商信任度的。比尔盖
子的信任管理手段很简单，就是使用 PGP 对我的 CA 证书进行签名，这样，如果
你本来就信任我的 PGP 公钥，那么你就可以确信某证书的确是我签署的。

比尔盖子保证：


  
  
  
  


   
   
   
   
CA 的私钥是安全的，它是在断网情况下在 tmpfs 中生成的，签署完毕后， 就被 GPG 加密保存到硬盘。

   
   
   
   
CA 的签名过程也是安全的，安全措施类似。

   
   
   
   
我只会对我自己管理的应用进行签名，而不是代替别人，给别人的域名和应用， 如 GMail 签名，更不会用来进行中间人攻击。

   
   
   
   
如果有网友可通过 PGP 配合，证明其身份，以及服务器或域名的管理权，我可以 帮他进行签名，同时我会在个人网站公开查验记录。

  
  
  
  

什么？你依然不敢把我的 CA 加入全局信任列表？我也并没有期待你这么做，
因为我这么做的主旨仅仅是：让他人仅仅通过核对一个 CA 证书证明我的服务器是
真实的，而不是核对大量证书。

目前使用这个证书的有


  
  
  
  


   
   
   
   
Starbrilliant 使用的 brilliant.biergaizi.info

   
   
   
   
erhandsome 上的 XMPP

  
  
  
  

那么这个证书有什么缺点呢？不支持吊销……因为这个 CA 我并不打算长期使用，我想如果发生证书泄露我会作废 CA，因此这似乎不是一个问题。

签名的信息和证书可以在这里查看。


文章来源：https://biergaizi.info/archives/2015/07/1999.html