什么是证书颁发机构和信任层次结构?
证书颁发机构或证书颁发机构/CA颁发数字证书。数字证书是可验证的小型数据文件,其中包含身份凭证,以帮助网站、人员和设备表示其真实的在线身份(因为CA已验证身份的真实性)。CA在互联网如何运行以及如何在网上进行透明、可信的交易方面发挥着关键作用。CA每年发布数以百万计的数字证书,这些证书用于保护信息、加密数十亿笔交易并实现安全通信。
SSL证书是一种流行的数字证书,它将web服务器(和网站)的所有权详细信息绑定到加密密钥。这些密钥在SSL/TLS协议中用于激活浏览器和托管SSL证书的web服务器之间的安全会话。为了让浏览器信任SSL证书,并在没有安全警告的情况下建立SSL/TLS会话,SSL证书必须包含使用该证书的网站的域名,由受信任的CA颁发,并且证书显示是未过期的。
根据分析网站Netcraft(www.Netcraft.com)的数据,2012年8月,面向公众的网站使用了近250万个SSL证书。事实上,可能有超过50%的网站在使用,因为Netcraft在面向公众的网站上无法识别全部的数据情况。因此SSL成为当今最流行的安全技术之一。
在使用这些SSL证书的情况下,由谁可以决定CA是被信任的?
浏览器、操作系统和移动设备运行授权的CA“成员”程序,其中CA必须满足被接受为成员的详细标准。一旦被接受,CA可以发布SSL证书,这些证书被浏览器透明地信任,随后,依赖于证书的人和设备也可以透明地信任。从私人公司到政府,授权的CA数量相对较少,通常CA运行的时间越长,浏览器和设备就越信任CA颁发的证书。要使证书透明可信,它们必须与较旧的浏览器,尤其是较旧的移动设备具有显著的向后兼容性——这被称为普遍性,是CA可以为其客户提供的最重要功能之一。
在颁发数字证书之前,CA将对申请人的身份进行多次检查。检查与申请证书的类别和类型有关。例如,域验证SSL证书将验证证书中包含的域的所有权,而扩展验证SSL将包含公司的其他信息,由CA通过许多公司检查进行验证。
有关不同类别的SSL证书更多信息,请参阅我们的相关文章:不同类别的证书及其案例。
PKI和信任层次
浏览器和设备通过将根证书接受到其根存储中来信任CA,根存储本质上是浏览器或设备预装的已批准CA的数据库。Windows和苹果、Mozilla(用于Firefox浏览器)都有根商店,通常每个移动运营商都有自己的根商店。
受信任根证书的Apple OSX存储
CA使用这些预先安装的根证书来颁发中间根证书和最终实体数字证书。CA接收证书请求,验证应用程序,颁发证书,并发布已颁发证书的持续有效性状态,因此任何查看使用证书的人都知道证书是有效的。
CA通常创建许多中间CA(ICA)根证书,用于颁发最终实体证书,如SSL证书。这称为信任层次结构,如下这样:
GlobalSign扩展验证CA-G2在本例中显示为ICA-it的信任继承自公共信任的GlobalSign根(层次结构的顶部)。该ICA能够发布公共信任的终端实体证书,图中所示,ICA向www.globalsign.com发布了扩展验证证书。
CA不应直接从分发给运营商的根颁发数字证书,而是通过其一个或多个ICA。这是因为CA应通过最小化根CA应对攻击者的潜在暴露来遵循最佳安全实践。GlobalSign是自1996年以来一直使用ICAs的少数CAs之一。
运行CA需要什么?
作为互联网的信任锚,CA负有重大责任。因此,在可审核需求中运行CA是一项复杂的任务。CA的基础设施包括相当多的运营要素、硬件、软件、政策框架和实践声明、审计、安全基础设施和人员。这些元素统称为可信PKI(公钥基础设施)。
证书有许多不同的格式,不仅支持SSL,还可以验证人员和设备,并为代码和文档添加合法性。有关更多信息,请访问GlobalSign产品部分。