7.4. X.509 Certificate Spoofing (X.509 证书欺骗)

7.4 X.509 Certificate Spoofing (X.509 证书欺骗)

若使用 PKI 方法进行客户端认证, 攻击者可能尝试使用主题 (DN 或 SAN) 相同但由授权服务器信任的另一 CA 颁发的证书冒充客户端. 为应对该威胁, 授权服务器应该仅接受数量有限且证书颁发策略满足其安全要求的 CA 作为 trust anchor (信任锚). 由此假设客户端与服务器在带外就服务器用于创建与校验证书链的信任锚集合达成一致. 若无此假设, 使用主题标识客户端证书会使服务器面临证书欺骗攻击.