X.509 CSR：為什麼 CA 刪除簽名？

我剛剛在 Wikipedia 上閱讀了這篇文章：證書籤名請求

我不是 PKI 或加密專家。據我了解，CSR（認證請求​​）始終由 PKCS#10-Request 創建者簽名。

我不明白為什麼接收和處理 CSR 的 CA 然後刪除此簽名（我的意思是，如果沒有此簽名，CA 可能會更改 CSR 的屬性）。

為什麼 CA 不只是將必要的屬性添加到 CSR 並使用其私鑰對其進行簽名？

如果 CA 以 CSR 作為 To-Be-Signed 欄位的主要部分發布的東西，它就不是 X.509 證書，幾乎沒有任何現有軟體會知道如何處理它。不過，我想原始的 CSR 可以作為擴展添加。

因此，我想您真的在問為什麼 X.509 證書格式最初沒有指定為包含主題和頒發者的簽名。我猜原因是，如果 PKI 應用程序信任特定的 CA，那麼該應用程序信任 CA 在頒發之前在所有證書欄位中添加正確的資訊（將主題與公鑰配對）。添加主題的簽名不會增加任何安全性。

引用自：https://crypto.stackexchange.com/questions/2006