CA定義以及功能說明

當您訪問以HTTPS開頭的網站時,即表示正在使用CA。 CA是Internet的重要組成部分。 如果不存在CA,那麼將無法安全在線購物以及使用網銀在線業務等。 什麼是CA? CA具體是做什麼的,又是如何確保您的交易和通信變得更安全,本文將詳細解答。

圖片1

什麼是CA?

CA是Certificate Authority的縮寫,也叫證書頒發機構,即頒發數字證書的機構,也是受信任的第三方機構,是負責簽發證書、認證證書、管理已頒發證書的機關,目的就是爲了讓企業組織和用戶的信息數據等能夠在互聯網環境下更加安全。

這樣說,可能還是有點迷糊,我們舉例說明一下:

假設您正在訪問某個銀行網站,如boc.cn:

圖片2

這是boc.cn在Google Chrome瀏覽器的顯示的樣式

如果看到一個如上截圖非常相像的網站,如何判斷這個網站是連接到boc運行的服務器? 萬一是一個黑客仿的一個boc.cn網站,那麼您如何知道是連接到真實網站呢? 這就是CA的工作了。 證書頒發機構(CA)會驗證該網站的企業信息,這樣就知道您是與誰在進行通信,而且還可以查看該網站上的SSL證書的詳細信息,瞭解該網站是經過Digicert CA嚴格驗證的,也可以確信您與真實的boc.cn建立了通信。

圖片3

上圖是該網站證書詳細信息

因此,證書頒發機構就像是給互聯網頒發護照的機構。 CA會收取少量費用以完成驗證流程並頒發證書,該證書可證明企業組織的身份,並保護用戶與服務器之間傳輸數據的安全。

CA工作原理

證書頒發機構(CA)是PKI(公鑰基礎設施)系統中重要組成部分之一。 當您訪問一個掛有安全鎖的網站,就表示該網站使用了SSL/TLS證書,而SSL/TLS證書是基於PKI, 並且需要以下幾個關鍵東西才能正常使用SSL/TLS證書:

  • 一張數字證書(如SSL/TLS證書),以證明該網站的真實身份;

  • 一個CA,用於驗證網站,並頒發數字證書;

  • 一個數字簽名,證明SSL證書是由受信任的證書頒發機構頒發的;

  • 一個公鑰,用於向網站發送的數據加密;

  • 一個私鑰,網站用來解密數據;

下圖可清楚瞭解CA在PKI中扮演的角色:

圖片4

CA具體是做什麼?

如上所述,商業證書頒發機構是PKI系統中不可或缺的一部分,那麼CA具體是做哪些工作呢?

  • 審覈域名,通過官方記錄平臺驗證個人,企業組織的身份信息;

  • 頒發對服務器,個人,企業組織進行身份驗證的數字證書,以建立信任;

  • 維護證書吊銷列表,這些列表是指證書在到期之前何時失效。

下面仔細講解一下以上三個功能:

驗證

當一個網站向CA申請數字證書時,CA將根據申請的證書類型完成其驗證過程:

域名驗證:CA僅驗證申請者是否是該域名的合法管理員而已,所以它是所有驗證類型中最簡單,最低級別的一種。

企業驗證:CA不僅會驗證域名的合法性,而且還會進一步驗證企業的基本信息。 CA會審覈證書申請者提供的企業信息,也會從第三方平臺(一般是官方平臺)調查審覈該企業是否真實合法。

擴展驗證:這是最嚴格驗證級別,在爲期1-5天的驗證過程中,CA會對申請者的企業組織進行全面的審覈驗證,以確保企業組織是真正合法。

通過CA對個人或企業組織進行驗證,可以爲用戶提供更好的安全保證,確保該網站是真實的。

數字證書

個人,企業組織的身份信息經過CA嚴格驗證通過後,CA將頒發數字證書,這也將幫助您網站與您的瀏覽器建立起信任。 目前CA可發行多種類型的數字證書,每種證書在PKI中扮演不同的角色。

SSL/TLS證書

SSL/TLS證書有助於客戶端瀏覽器與Web服務器之間進行安全的加密連接。 安裝了這類證書可消除URL欄中“不安全“的警告,保證了雙方傳遞信息的安全性,防止數據信息的泄露。 根據保護域名數量來分的話,可以劃分爲:單域名證書,多域名證書,通配符證書,多域名通配符證書。 所以您可以根據需要保護的域名數量來選擇,就通用性而言,多域名通配符證書功能最爲豐富。

代碼簽名證書

代碼簽名證書是提供給軟件開發者,發佈者對其開發的可執行腳本,軟件代碼進行數字簽名的證書。 這類證書可驗證開發者身份的真實性,使得該軟件的來源安全可信,並保護代碼的完整性,確保該代碼未被非法篡改。

電子郵件簽名證書

電子郵件簽名證書也稱S/MIME證書,它是通過使用S/MIME協議,對電子郵件及其附件進行數字簽名和加密,驗證發件人,並驗證是否被篡改,防止數據泄露和身份僞造,因此可有效防止釣魚郵件。

使用郵件簽名證書籤名時,電子郵件方式顯示如下:

圖片5

點開右側紅色圖標,即可查看證書的詳細信息。 如圖所示:

圖片6

文檔簽名證書

文檔簽名證書對驗證文檔創建者和文檔本身的完整性非常有用,可在PDF文檔進行數字簽名,使電子文檔具有不可篡改與合法身份識別的特性。 這類證書非常適用於政府機關,醫療衛生,法律教育等行業。

CA在證書吊銷中的角色

從本質上說,證書吊銷列表(Certificate Revocation List, 簡稱: CRL)其實就是證書的黑名單,這些進入黑名單的證書是由CA所簽署的,說明該證書是有問題的,將不再受信任。 客戶端可以聯繫CA檢查這個吊銷列表,或者網站服務器也可以通過OCSP (Online Certificate Status Protocol, 證書狀態在線查詢協議)自動查詢檢測該數字證書在某一時間是否有效,然後向請求者發送查詢結果, 一般三個狀態:正常,吊銷,未知。

CRL是否與CA的CT日誌(Certificate Transparency,證書透明化日誌)相同? 答案是否定的。 這是兩件不同的事情。 每當CA頒發新的數字證書時,它都必須在其公共CT日誌上創建一個新條目。 但是,如果CA在頒發的證書到期之前就宣佈該證書失效,那麼CA將會把該證書添加到吊銷列表中。

總的來說,證書頒發機構(CA)在互聯網環境下佔據非常重要的地位,有了這樣權威的第三方機構,不論是您的站點,還是軟件代碼,或者郵件,文檔等都將得到有效地保護,確保向用戶展示真實身份,而且傳輸的數據的安全性和隱私權都能得以保障。

Updated on 30 Sep 2020