证书在https中有着举足轻重的作用,所以先来介绍证书这个概念。CA是Certificate Authority,证书认证中心,世界上都有哪些有名CA呢?
1、DigiCert是一家全球著名CA机构,旗下拥有DigiCert,Symantec,Geotrust,Thawte,RapidSSL等SSL证书品牌。
2、GeoTrust是全球第二大数字证书颁发机构(CA)。
3、Sectigo(原Comodo CA)是全球SSL证书市场占有率最高的CA公司。
4、GlobalSign是一家全球著名CA机构。
5、Thawte是全球第三大数字证书颁发机构(CA)。VeriSign于2000年2月1日以5.75亿美元换股完成收购,收购后Thawte仍然独立运作。
6、CFCA(China Financial Certification Authority,中国金融认证中心)是经中国人民银行和国家信息安全管理机构批准成立的国家级权威安全机构。
一、啥样子
先来看看一般证书都长什么样:
图1 证书信息片段
包含三类信息:
1、谁颁发的:颁发者(多数是CA颁发,但有些也是各公司自己颁发比如12306网站的证书)
2、谁使用的:使用者
3、证书本身信息:版本、序列号、签名算法、签名哈希算法、有效期、公钥
其中证书中最重要的信息是公钥!
二、干吗用的
那这个证书干啥用的呢?证书的作用有两个:保护公钥和发送的数据。
首先,证书有一个概念叫证书链。从根证书开始,逐级签发出新的证书,然后形成证书链。举个例子,某集团从CA机构申请到一份根证书rootCertCA,然后集团下属公司A需要一份证书,于是用这份CA根证书签发派生出一份子证书CertA,之后A公司某产品AA又需要新证书,于是用CertA签发派生出新证书CertAA,这样rootCertCA—>CertA—>CertAA便形成一条证书链,其中CertAA会包含这个链条关系,能够追溯到rootCertCA。证书链本