當前位置:首頁 >  IDC >  安全 >  正文

關于根證書與中間證書你該知道……

 2019-10-23 15:44  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

什么是根證書?什么是中間證書?提到這些,相信即使是獲取并安裝了SSL證書的人也會一臉懵。

首先向您提一個問題:您的瀏覽器如何知道是否應該信任網(wǎng)站的SSL證書? 受信任的根的任何下級證書都是受信任的。這在技術層面上是如何工作的呢?

當你訪問一個網(wǎng)站時,瀏覽器會查看它的SSL證書,并快速的驗證證書的真實性。瀏覽器會檢查證書的有效期、確保證書沒有被撤銷、驗證證書的數(shù)字簽名。

瀏覽器循著證書鏈對證書進行身份驗證的操作。要獲得頒發(fā)的SSL證書,首先要生成證書簽名請求(CSR)和私鑰。最簡單的迭代,你將CSR發(fā)送給證書頒發(fā)機構,然后它使用來自其根的私鑰簽署SSL證書并將其發(fā)送回來。

現(xiàn)在,當瀏覽器看到SSL證書時,它會看到證書是由其根存儲中的一個受信任根頒發(fā)的(或者更準確地說,使用根的私鑰簽名)。因為它信任根,所以它信任根簽名的任何證書。

什么是中間證書?

證書頒發(fā)機構不會直接從它們的根證書頒發(fā)服務器/葉子證書(最終用戶SSL證書)。這些根證書太寶貴了,直接頒發(fā)風險太大了。

因此,為了保護根證書,CAs通常會頒發(fā)所謂的中間根。CA使用它的私鑰對中間根簽名,使它受到信任。然后CA使用中間證書的私鑰簽署和頒發(fā)終端用戶SSL證書。這個過程可以執(zhí)行多次,其中一個中間根對另一個中間根進行簽名,然后CA使用該根對證書進行簽名。這些鏈接,從根到中間到葉子,都是證書鏈。

你可能會注意到,當CA頒發(fā)SSL證書時,它還會發(fā)送需要安裝的中間證書。這樣,瀏覽器就能夠完成證書鏈,并將服務器上的SSL證書鏈接回它的一個根。天威誠信表示瀏覽器和操作系統(tǒng)處理不完整鏈的方式各不相同。有些只會在中間證書丟失時發(fā)出問題并報錯,而另一些則會保存和緩存中間證書,以防它們?nèi)蘸笈缮嫌脠觥?/p>

數(shù)字簽名的作用是什么?

數(shù)字簽名有點像數(shù)字形式的公證。當根證書對中間證書進行數(shù)字簽名時,它實際上是將部分信任轉(zhuǎn)移給中間證書。因為簽名直接來自受信任根證書的私鑰,所以它是自動受信任的。

任何時候,只要向瀏覽器或設備提供SSL證書,它就會接收證書以及與證書關聯(lián)的公鑰。它通過公鑰驗證數(shù)字簽名,并查看它是由誰生成的(即由哪個證書簽名的)。你現(xiàn)在可以開始把這些拼湊起來。當您的瀏覽器在網(wǎng)站上驗證最終用戶SSL證書時,它使用提供的公鑰來驗證簽名并在證書鏈上向上移動一個鏈接。重復這個過程:對簽名進行身份驗證,并跟蹤簽名的證書鏈,直到最終到達瀏覽器信任存儲中的一個根證書。如果它不能將證書鏈回其受信任的根,它就不會信任該證書。

根CA和中間CA有什么區(qū)別呢?

這其實很簡單。Root CA(根CA)是擁有一個或多個可信根的證書頒發(fā)機構。這意味著它們根植于主流瀏覽器的信任存儲中。中間CAs或子CAs是由中間根發(fā)出的證書頒發(fā)機構。 它們在瀏覽器的信任存儲中沒有根,它們的中間根會鏈回到一個受信任的第三方根。這有時稱為交叉簽名。

正如我們前面討論的,CA并不直接從它們的根頒發(fā)證書。他們通過頒發(fā)中間證書并使用中間證書簽署證書,增加根證書的安全性。這有助于在發(fā)生誤發(fā)或安全事件時最小化和劃分損害,當安全事件發(fā)生時,不需要撤銷根證書,只需撤銷中間證書,使從該中間證書發(fā)出的證書組不受信任。

為便于您理解,以上是簡化了的內(nèi)容,實際過程通常復雜得多,除非您自身有所了解,否則會非常抽象。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關標簽
ssl證書

相關文章

  • 高級SSL證書直降1000+ 安信證書帶你清涼一夏

    夏日炎炎,烈日高照,這個季節(jié)最需要的就是清涼!而安信證書夏季大放價活動,正是為了讓您以清涼的價格,使您的網(wǎng)站可以獲得更加專業(yè)的SSL保護,更加輕松地應對網(wǎng)絡攻擊和數(shù)據(jù)泄露。此次夏季活動中,有大家比較熟悉的國際知名品牌GeoTrust、Sectigo等,還有DV、OV、EV等不同驗證類型的SSL證書,

    標簽:
    ssl證書
  • 為什么選擇OV SSL證書?OV SSL證書品牌推薦

    OVSSL證書中文全稱為“組織驗證型SSL證書”,該證書除需要驗證網(wǎng)站域名外,還需對網(wǎng)站所屬企業(yè)進行嚴格身份認證審核。通過審核的企業(yè)單位才能簽發(fā)證書,以此來保障網(wǎng)站真實性和合法性。

    標簽:
    ssl證書
  • 嗨翻五一 限時優(yōu)惠 | 通配符SSL證書最高直降3000元

    春未盡,夏初臨,在季節(jié)流轉(zhuǎn)之間,五一小長假即將如約而至。安信證書(https://www.anxinssl.com/)作為國內(nèi)領先的https解決方案服務商,為回饋廣大新老用戶,為您的信息安全保駕護航,為大家?guī)砹薙SL數(shù)字證書專場活動。精選爆款通配符SSL證書,助您低成本實現(xiàn)網(wǎng)站安全合規(guī)!活動詳情

    標簽:
    ssl證書
  • 為什么需要定期更新SSL證書?

    SSL數(shù)字證書對網(wǎng)站運行的安全性起到極大的保障,現(xiàn)如今大多數(shù)網(wǎng)站都會安裝部署,可以起到數(shù)據(jù)加密的作用。通常SSL證書的有效期為一年左右,有效期結(jié)束后網(wǎng)站的SSL證書就會失效。如果想要繼續(xù)保護網(wǎng)站,只能提前續(xù)費或重新申請。那么,為什么需要定期更新SSL證書呢?RAKsmart為大家?guī)砗唵谓榻B:1、定

    標簽:
    ssl證書
  • 失去SSL證書的保護,將對網(wǎng)站安全造成哪些影響?

    在經(jīng)濟全球化、網(wǎng)絡化的時代,重要信息傳輸和產(chǎn)品買賣及服務都需要網(wǎng)絡的支撐,隨著網(wǎng)絡信息技術的深入發(fā)展,網(wǎng)絡安全逐步成為企業(yè)關注的焦點。但現(xiàn)實情況是,全球各地的網(wǎng)絡犯罪分子依然潛伏在各個角落,尋找時機入侵企業(yè)網(wǎng)站,竊取企業(yè)經(jīng)營數(shù)據(jù)和用戶敏感信息。如果您的企業(yè)擁有網(wǎng)站尤其是具有交易功能的網(wǎng)站,則必須使用

    標簽:
    ssl證書

熱門排行

信息推薦