PDF《一种集成化的 PKI 数字证书验证安全增强方案》

(2) 服务器数字 证书更新时,一般都不会改变其 CA 所属国家/地区[6].以上 规律,限定了 CA 签发数字证书的服务范围;

一旦浏览器发 现违反规律的数字证书,即判断为虚假数字证书. 数字证书服务范围限定方案实现简单,在浏览器上即可 执行.但是,这些规律是现有数字证书服务情况总结,并不 是强制性要求;

所以, 虚警的可能性比较大, 难以单独使用. 另一方面,由于上述服务范围限定是粗粒度的检查,也会导 致较大的漏警率. 2.5 方案比较 下面,从执行效率、安全性(漏警率和虚警率),本文 对以上

4 种方案比较总结如表

1 所示.漏警是指浏览器接收 到虚........