當(dāng)前位置:首頁(yè) >  IDC >  安全 >  正文

關(guān)于根證書(shū)與中間證書(shū)你該知道……

 2019-10-23 15:44  來(lái)源: 互聯(lián)網(wǎng)   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

什么是根證書(shū)?什么是中間證書(shū)?提到這些,相信即使是獲取并安裝了SSL證書(shū)的人也會(huì)一臉懵。

首先向您提一個(gè)問(wèn)題:您的瀏覽器如何知道是否應(yīng)該信任網(wǎng)站的SSL證書(shū)? 受信任的根的任何下級(jí)證書(shū)都是受信任的。這在技術(shù)層面上是如何工作的呢?

當(dāng)你訪問(wèn)一個(gè)網(wǎng)站時(shí),瀏覽器會(huì)查看它的SSL證書(shū),并快速的驗(yàn)證證書(shū)的真實(shí)性。瀏覽器會(huì)檢查證書(shū)的有效期、確保證書(shū)沒(méi)有被撤銷、驗(yàn)證證書(shū)的數(shù)字簽名。

瀏覽器循著證書(shū)鏈對(duì)證書(shū)進(jìn)行身份驗(yàn)證的操作。要獲得頒發(fā)的SSL證書(shū),首先要生成證書(shū)簽名請(qǐng)求(CSR)和私鑰。最簡(jiǎn)單的迭代,你將CSR發(fā)送給證書(shū)頒發(fā)機(jī)構(gòu),然后它使用來(lái)自其根的私鑰簽署SSL證書(shū)并將其發(fā)送回來(lái)。

現(xiàn)在,當(dāng)瀏覽器看到SSL證書(shū)時(shí),它會(huì)看到證書(shū)是由其根存儲(chǔ)中的一個(gè)受信任根頒發(fā)的(或者更準(zhǔn)確地說(shuō),使用根的私鑰簽名)。因?yàn)樗湃胃?所以它信任根簽名的任何證書(shū)。

什么是中間證書(shū)?

證書(shū)頒發(fā)機(jī)構(gòu)不會(huì)直接從它們的根證書(shū)頒發(fā)服務(wù)器/葉子證書(shū)(最終用戶SSL證書(shū))。這些根證書(shū)太寶貴了,直接頒發(fā)風(fēng)險(xiǎn)太大了。

因此,為了保護(hù)根證書(shū),CAs通常會(huì)頒發(fā)所謂的中間根。CA使用它的私鑰對(duì)中間根簽名,使它受到信任。然后CA使用中間證書(shū)的私鑰簽署和頒發(fā)終端用戶SSL證書(shū)。這個(gè)過(guò)程可以執(zhí)行多次,其中一個(gè)中間根對(duì)另一個(gè)中間根進(jìn)行簽名,然后CA使用該根對(duì)證書(shū)進(jìn)行簽名。這些鏈接,從根到中間到葉子,都是證書(shū)鏈。

你可能會(huì)注意到,當(dāng)CA頒發(fā)SSL證書(shū)時(shí),它還會(huì)發(fā)送需要安裝的中間證書(shū)。這樣,瀏覽器就能夠完成證書(shū)鏈,并將服務(wù)器上的SSL證書(shū)鏈接回它的一個(gè)根。天威誠(chéng)信表示瀏覽器和操作系統(tǒng)處理不完整鏈的方式各不相同。有些只會(huì)在中間證書(shū)丟失時(shí)發(fā)出問(wèn)題并報(bào)錯(cuò),而另一些則會(huì)保存和緩存中間證書(shū),以防它們?nèi)蘸笈缮嫌脠?chǎng)。

數(shù)字簽名的作用是什么?

數(shù)字簽名有點(diǎn)像數(shù)字形式的公證。當(dāng)根證書(shū)對(duì)中間證書(shū)進(jìn)行數(shù)字簽名時(shí),它實(shí)際上是將部分信任轉(zhuǎn)移給中間證書(shū)。因?yàn)楹灻苯觼?lái)自受信任根證書(shū)的私鑰,所以它是自動(dòng)受信任的。

任何時(shí)候,只要向?yàn)g覽器或設(shè)備提供SSL證書(shū),它就會(huì)接收證書(shū)以及與證書(shū)關(guān)聯(lián)的公鑰。它通過(guò)公鑰驗(yàn)證數(shù)字簽名,并查看它是由誰(shuí)生成的(即由哪個(gè)證書(shū)簽名的)。你現(xiàn)在可以開(kāi)始把這些拼湊起來(lái)。當(dāng)您的瀏覽器在網(wǎng)站上驗(yàn)證最終用戶SSL證書(shū)時(shí),它使用提供的公鑰來(lái)驗(yàn)證簽名并在證書(shū)鏈上向上移動(dòng)一個(gè)鏈接。重復(fù)這個(gè)過(guò)程:對(duì)簽名進(jìn)行身份驗(yàn)證,并跟蹤簽名的證書(shū)鏈,直到最終到達(dá)瀏覽器信任存儲(chǔ)中的一個(gè)根證書(shū)。如果它不能將證書(shū)鏈回其受信任的根,它就不會(huì)信任該證書(shū)。

根CA和中間CA有什么區(qū)別呢?

這其實(shí)很簡(jiǎn)單。Root CA(根CA)是擁有一個(gè)或多個(gè)可信根的證書(shū)頒發(fā)機(jī)構(gòu)。這意味著它們根植于主流瀏覽器的信任存儲(chǔ)中。中間CAs或子CAs是由中間根發(fā)出的證書(shū)頒發(fā)機(jī)構(gòu)。 它們?cè)跒g覽器的信任存儲(chǔ)中沒(méi)有根,它們的中間根會(huì)鏈回到一個(gè)受信任的第三方根。這有時(shí)稱為交叉簽名。

正如我們前面討論的,CA并不直接從它們的根頒發(fā)證書(shū)。他們通過(guò)頒發(fā)中間證書(shū)并使用中間證書(shū)簽署證書(shū),增加根證書(shū)的安全性。這有助于在發(fā)生誤發(fā)或安全事件時(shí)最小化和劃分損害,當(dāng)安全事件發(fā)生時(shí),不需要撤銷根證書(shū),只需撤銷中間證書(shū),使從該中間證書(shū)發(fā)出的證書(shū)組不受信任。

為便于您理解,以上是簡(jiǎn)化了的內(nèi)容,實(shí)際過(guò)程通常復(fù)雜得多,除非您自身有所了解,否則會(huì)非常抽象。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
ssl證書(shū)

相關(guān)文章

  • 高級(jí)SSL證書(shū)直降1000+ 安信證書(shū)帶你清涼一夏

    夏日炎炎,烈日高照,這個(gè)季節(jié)最需要的就是清涼!而安信證書(shū)夏季大放價(jià)活動(dòng),正是為了讓您以清涼的價(jià)格,使您的網(wǎng)站可以獲得更加專業(yè)的SSL保護(hù),更加輕松地應(yīng)對(duì)網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露。此次夏季活動(dòng)中,有大家比較熟悉的國(guó)際知名品牌GeoTrust、Sectigo等,還有DV、OV、EV等不同驗(yàn)證類型的SSL證書(shū),

    標(biāo)簽:
    ssl證書(shū)
  • 為什么選擇OV SSL證書(shū)?OV SSL證書(shū)品牌推薦

    OVSSL證書(shū)中文全稱為“組織驗(yàn)證型SSL證書(shū)”,該證書(shū)除需要驗(yàn)證網(wǎng)站域名外,還需對(duì)網(wǎng)站所屬企業(yè)進(jìn)行嚴(yán)格身份認(rèn)證審核。通過(guò)審核的企業(yè)單位才能簽發(fā)證書(shū),以此來(lái)保障網(wǎng)站真實(shí)性和合法性。

    標(biāo)簽:
    ssl證書(shū)
  • 嗨翻五一 限時(shí)優(yōu)惠 | 通配符SSL證書(shū)最高直降3000元

    春未盡,夏初臨,在季節(jié)流轉(zhuǎn)之間,五一小長(zhǎng)假即將如約而至。安信證書(shū)(https://www.anxinssl.com/)作為國(guó)內(nèi)領(lǐng)先的https解決方案服務(wù)商,為回饋廣大新老用戶,為您的信息安全保駕護(hù)航,為大家?guī)?lái)了SSL數(shù)字證書(shū)專場(chǎng)活動(dòng)。精選爆款通配符SSL證書(shū),助您低成本實(shí)現(xiàn)網(wǎng)站安全合規(guī)!活動(dòng)詳情

    標(biāo)簽:
    ssl證書(shū)
  • 為什么需要定期更新SSL證書(shū)?

    SSL數(shù)字證書(shū)對(duì)網(wǎng)站運(yùn)行的安全性起到極大的保障,現(xiàn)如今大多數(shù)網(wǎng)站都會(huì)安裝部署,可以起到數(shù)據(jù)加密的作用。通常SSL證書(shū)的有效期為一年左右,有效期結(jié)束后網(wǎng)站的SSL證書(shū)就會(huì)失效。如果想要繼續(xù)保護(hù)網(wǎng)站,只能提前續(xù)費(fèi)或重新申請(qǐng)。那么,為什么需要定期更新SSL證書(shū)呢?RAKsmart為大家?guī)?lái)簡(jiǎn)單介紹:1、定

    標(biāo)簽:
    ssl證書(shū)
  • 失去SSL證書(shū)的保護(hù),將對(duì)網(wǎng)站安全造成哪些影響?

    在經(jīng)濟(jì)全球化、網(wǎng)絡(luò)化的時(shí)代,重要信息傳輸和產(chǎn)品買賣及服務(wù)都需要網(wǎng)絡(luò)的支撐,隨著網(wǎng)絡(luò)信息技術(shù)的深入發(fā)展,網(wǎng)絡(luò)安全逐步成為企業(yè)關(guān)注的焦點(diǎn)。但現(xiàn)實(shí)情況是,全球各地的網(wǎng)絡(luò)犯罪分子依然潛伏在各個(gè)角落,尋找時(shí)機(jī)入侵企業(yè)網(wǎng)站,竊取企業(yè)經(jīng)營(yíng)數(shù)據(jù)和用戶敏感信息。如果您的企業(yè)擁有網(wǎng)站尤其是具有交易功能的網(wǎng)站,則必須使用

    標(biāo)簽:
    ssl證書(shū)

熱門(mén)排行

信息推薦