中文版

什么是 CA(SSL/TLS证书颁发机构)?

发布时间:2023-12-23  浏览次数:145次

每次我们访问以 HTTPS 开头的网站时,我们都在使用证书颁发机构颁发的 SSL 证书。那么究竟什么是 CA,它如何让你的交易和通信更加安全?

SSL/TLS证书颁发机构

一、什么是 SSL 证书

SSL 证书是一种流行的数字证书类型,它将 Web 服务器(和网站)的所有权详细信息绑定到加密密钥。这些密钥在 SSL/TLS 协议中用于激活浏览器和托管 SSL 证书的 Web 服务器之间的安全会话。为了让浏览器信任 SSL 证书,并在没有安全警告的情况下建立 SSL/TLS 会话,SSL 证书必须包含使用它的网站的域名,由受信任的 CA 颁发,并且没有过期。

二、什么是 CA

CA 是数字证书颁发机构,是为网站和其他实体(如电子邮件地址、公司或个人)颁发数字证书的受信任组织。CA 验证网站域名,并根据证书类型验证网站的所有权,然后颁发受 Chrome、Safari 和 Firefox 等网络浏览器信任的 TLS/SSL 证书。因此,CA 通过验证网站和其他实体以增强对在线通信和交易的信任,帮助保持互联网更安全。

三、证书颁发机构如何颁发数字证书

SSL/TLS 证书对网站进行身份验证和保护,并促进安全、加密的连接。它们通过在 Web 浏览器中显示挂锁图标让用户知道他们正在访问一个真正的网站。

作为 PKI 的重要组成部分,SSL/TLS 证书需要数字证书才能工作,这就是 CA 证书的用武之地。实体(组织或个人)可以向 CA 请求数字证书。首先,它生成一个密钥对,其中包括以下内容:

1、私钥,始终保密,绝不应向任何人展示,包括 CA;
2、公钥,在 CA 颁发的数字证书中提到 - 申请人还生成证书签名请求 (CSR),这是一个编码文本文件,指定将包含在证书中的信息,例如:

● 域名;
● 附加或替代域名,包括子域名;
● 组织机构;
● 联系方式,例如电子邮件地址。

CSR 中包含的信息取决于证书的预期用途及其验证级别,上述两个过程通常在要安装证书的服务器或工作站上完成。而后申请人将 CSR 发送给 CA 认证,CA 将验证 CSR 中的信息和申请人的身份。然后,CA 生成数字证书,用其私钥对其进行数字签名,并将证书发送给申请人。

此时,可以使用 CA 的公钥对这个数字证书进行身份验证——例如,通过 Web 浏览器。浏览器还可以使用证书来确认数字签名的内容是由持有相应私钥的合法实体发送的,并且该信息自该实体签名后未被更改。

CA 通常直接接受申请人的请求。有时,他们将认证申请人的任务委托给注册机构 ( RA )。RA 收集并验证数字证书请求,然后将这些请求提交给 CA,然后 CA 颁发证书以通过 RA 传递给申请人。

证书颁发机构(CA)颁发证书流程

四、三种主要类型的 TLS 证书

CA 颁发三种不同类型的 TLS 证书:域验证 (DV)、组织验证 (OV) 和扩展验证 (EV)。CA 将每种类型的证书验证为不同级别的用户信任,其中 EV 是可用的最高保证级别。OV 和 EV 之间的区别在于 CA 采取额外的步骤来验证证书请求者,让最终用户更加相信网站是合法的。

1、DV:通过让申请人证明对域的控制来确认域验证证书的所有权。但是,DV 证书不提供识别组织信息,因此不建议将其用于商业目的。

2、OV:组织验证证书由 CA 针对政府托管的企业注册数据库进行身份验证。CA 可能需要某些文件和联系人员以确保 OV 证书包含合法的业务信息,这是商业或面向公众的网站所需的标准证书类型。

3、EV:扩展验证证书提供最高级别的身份验证,以保护品牌和保护用户。根据 Comscore 和 Netcraft 的 2019 年数据,它们被世界领先的组织使用,其中包括超过一半的 400 强电子商务网站。

五、为什么我们需要证书颁发机构

如果没有证书颁发机构,购物、银行业务或在线浏览将不那么安全。输入网络表单的数据不会受到保护,并且可能会被正在“嗅探”浏览器和服务器之间数据的黑客捕获。但是,CA 会验证组织和个人,以帮助确保只有合法网站才能获得 TLS 证书。全球有 100 多个不同的证书颁发机构对全球的企业和站点进行验证。

值得注意的是,冒名顶替者可能仍会尝试利用证书,因此网络用户仍应熟悉站点信任指标,以了解网站是否安全。此外,你可以检查更高保证的数字证书中包含的有关证书所有者的识别信息,例如组织名称、位置等。

© 2024 重庆零玖云网络科技有限公司 版权所有,保留所有权利 注册人权利与责任注册人教育信息隐私政策