คำถามของฉันคือ มีวิธีที่มีประสิทธิภาพในการ "แท็ก" คีย์ดั้งเดิมด้วยข้อมูล "คีย์นี้สำหรับ mycoolsite.com" หรือไม่ ซึ่งการลบแท็กจะทำให้คีย์ใช้ไม่ได้
ใช่ นั่นคือสิ่งที่ใบรับรองทำโดยพื้นฐาน ซึ่งคุณสามารถมีชื่อโดเมนในรูปแบบ X500 RDN (Relative Distinguished Name) นอกจากนี้ยังเป็นไปได้ที่จะมีส่วนขยาย (สำคัญ) ที่มีข้อมูลเพิ่มเติม เช่น ชื่อเรื่องอื่นหรือการใช้คีย์ "สำคัญ" หมายความว่าไม่ควรเพิกเฉยต่อส่วนขยายแม้ว่าจะไม่รู้จักส่วนขยายก็ตาม ข้อมูลทั้งหมดนี้ลงนามโดย CA ที่ออกใบรับรองและต้องได้รับการตรวจสอบโดยผู้ตรวจสอบ
แน่นอน แม้แต่สิ่งที่ต้องทำในขั้นตอนการตรวจสอบใบรับรองก็สามารถละเว้นได้ ไม่สามารถทำให้คีย์เป็นโมฆะได้ นั่นเองและคุณไม่สามารถบังคับให้ระบบเพิกเฉยต่อข้อมูลที่ส่งถึงมันจากภายนอกได้ (เว้นแต่คุณจะแซนด์บ็อกซ์ระบบที่ฉันคิดไว้)
และไม่สามารถไม่อนุญาตให้ผู้ใช้คัดลอกคีย์สาธารณะหรือขอใบรับรองจากที่อื่นได้ บางครั้ง CA เฉพาะจะเก็บ ID ของคีย์ไว้ภายในใบรับรองที่ลงนาม ในกรณีนั้น CA สามารถ เลือกที่จะเพิกเฉยต่อคำขอใบรับรองด้วยคีย์ "เก่า" - แม้ว่าจากประสบการณ์ของฉัน นี่เป็นการหลีกเลี่ยงข้อผิดพลาดภายในระบบมากกว่า
และสุดท้าย ไม่สามารถจำกัดการใช้คีย์ส่วนตัวได้ เจ้าของคีย์ส่วนตัว RSA สามารถใช้คีย์นั้นในการเซ็นชื่อหรือสร้างคีย์ แม้ว่าข้อมูลใบรับรองจะระบุเป็นอย่างอื่นก็ตาม ใบรับรองระบุเพียงว่าสามารถใช้คู่คีย์ใดได้บ้าง แต่ขึ้นอยู่กับฝ่ายที่ได้รับ ตรวจสอบ และเชื่อถือใบรับรองเพื่อบังคับใช้สิ่งนี้