CA定义以及功能说明

于 2020-09-04 13:54:10 发布
阅读量1.3k 收藏 7
点赞数 1
分类专栏: SSL证书 文章标签: ca证书 ssl https
原文链接:https://www.racent.com/blog/what-is-a-certificate-authority-and-what-do-they-do
版权

当您访问以HTTPS开头的网站时,即表示正在使用CA。CA是Internet的重要组成部分。如果不存在CA,那么将无法安全在线购物以及使用网银在线业务等。**什么是CA?CA具体是做什么的,又是如何确保您的交易和通信变得更安全,**本文将详细解答。
在这里插入图片描述

什么是CA?

CA是Certificate Authority的缩写,也叫证书颁发机构,即颁发数字证书的机构,也是受信任的第三方机构,是负责签发证书、认证证书、管理已颁发证书的机关,目的就是为了让企业组织和用户的信息数据等能够在互联网环境下更加安全。
这样说,可能还是有点迷糊,我们举例说明一下:
假设您正在访问某个银行网站,如boc.cn:
这是boc.cn在Google Chrome浏览器的显示的样式

如果看到一个如上截图非常相像的网站,如何判断这个网站是连接到boc运行的服务器?万一是一个黑客仿的一个boc.cn网站,那么您如何知道是连接到真实网站呢?这就是CA的工作了。证书颁发机构(CA)会验证该网站的企业信息,这样就知道您是与谁在进行通信,而且还可以查看该网站上的SSL证书的详细信息,了解该网站是经过Digicert CA严格验证的,也可以确信您与真实的boc.cn建立了通信。
上图是该网站证书详细信息
因此,证书颁发机构就像是给互联网颁发护照的机构。CA会收取少量费用以完成验证流程并颁发证书,该证书可证明企业组织的身份,并保护用户与服务器之间传输数据的安全。

CA工作原理

证书颁发机构(CA)是PKI(公钥基础设施)系统中重要组成部分之一。当您访问一个挂有安全锁的网站,就表示该网站使用了SSL/TLS证书,而SSL/TLS证书是基于PKI, 并且需要以下几个关键东西才能正常使用SSL/TLS证书:
· 一张数字证书(如SSL/TLS证书),以证明该网站的真实身份;
· 一个CA,用于验证网站,并颁发数字证书;
· 一个数字签名,证明SSL证书是由受信任的证书颁发机构颁发的;
· 一个公钥,用于向网站发送的数据加密;
· 一个私钥,网站用来解密数据;
下图可清楚了解CA在PKI中扮演的角色:
在这里插入图片描述

CA具体是做什么?

如上所述,商业证书颁发机构是PKI系统中不可或缺的一部分,那么CA具体是做哪些工作呢?
· 审核域名,通过官方记录平台验证个人,企业组织的身份信息;
· 颁发对服务器,个人,企业组织进行身份验证的数字证书,以建立信任;
· 维护证书吊销列表,这些列表是指证书在到期之前何时失效。
下面仔细讲解一下以上三个功能:
验证
当一个网站向CA申请数字证书时,CA将根据申请的证书类型完成其验证过程:
域名验证:CA仅验证申请者是否是该域名的合法管理员而已,所以它是所有验证类型中最简单,最低级别的一种。
企业验证:CA不仅会验证域名的合法性,而且还会进一步验证企业的基本信息。CA会审核证书申请者提供的企业信息,也会从第三方平台(一般是官方平台)调查审核该企业是否真实合法。
扩展验证:这是最严格验证级别,在为期1-5天的验证过程中,CA会对申请者的企业组织进行全面的审核验证,以确保企业组织是真正合法。
通过CA对个人或企业组织进行验证,可以为用户提供更好的安全保证,确保该网站是真实的。
数字证书
个人,企业组织的身份信息经过CA严格验证通过后,CA将颁发数字证书,这也将帮助您网站与您的浏览器建立起信任。目前CA可发行多种类型的数字证书,每种证书在PKI中扮演不同的角色。
SSL/TLS证书
SSL/TLS证书有助于客户端浏览器与Web服务器之间进行安全的加密连接。安装了这类证书可消除URL栏中“不安全“的警告,保证了双方传递信息的安全性,防止数据信息的泄露。根据保护域名数量来分的话,可以划分为:单域名证书,多域名证书,通配符证书,多域名通配符证书。所以您可以根据需要保护的域名数量来选择,就通用性而言,多域名通配符证书功能最为丰富。
代码签名证书
代码签名证书是提供给软件开发者,发布者对其开发的可执行脚本,软件代码进行数字签名的证书。这类证书可验证开发者身份的真实性,使得该软件的来源安全可信,并保护代码的完整性,确保该代码未被非法篡改。
电子邮件签名证书
电子邮件签名证书也称S/MIME证书,它是通过使用S/MIME协议,对电子邮件及其附件进行数字签名和加密,验证发件人,并验证是否被篡改,防止数据泄露和身份伪造,因此可有效防止钓鱼邮件。
使用邮件签名证书签名时,电子邮件方式显示如下:
在这里插入图片描述

点开右侧红色图标,即可查看证书的详细信息。如图所示:
在这里插入图片描述

文档签名证书
文档签名证书对验证文档创建者和文档本身的完整性非常有用,可在PDF文档进行数字签名,使电子文档具有不可篡改与合法身份识别的特性。这类证书非常适用于政府机关,医疗卫生,法律教育等行业。

CA在证书吊销中的角色

从本质上说,证书吊销列表(Certificate Revocation List, 简称: CRL)其实就是证书的黑名单,这些进入黑名单的证书是由CA所签署的,说明该证书是有问题的,将不再受信任。客户端可以联系CA检查这个吊销列表,或者网站服务器也可以通过OCSP (Online Certificate Status Protocol, 证书状态在线查询协议)自动查询检测该数字证书在某一时间是否有效,然后向请求者发送查询结果,一般三个状态:正常,吊销,未知。
CRL是否与CA的CT日志(Certificate Transparency,证书透明化日志)相同?答案是否定的。这是两件不同的事情。每当CA颁发新的数字证书时,它都必须在其公共CT日志上创建一个新条目。但是,如果CA在颁发的证书到期之前就宣布该证书失效,那么CA将会把该证书添加到吊销列表中。
总的来说,证书颁发机构(CA)在互联网环境下占据非常重要的地位,有了这样权威的第三方机构,不论是您的站点,还是软件代码,或者邮件,文档等都将得到有效地保护,确保向用户展示真实身份,而且传输的数据的安全性和隐私权都能得以保障。

本文转载于https://www.racent.com/blog/what-is-a-certificate-authority-and-what-do-they-do

Racent_Y
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
VMC证书是什么?获取认证标志证书步骤是怎样的?
12-26 887
VMC证书是什么?在获取VMC之前您的电子邮件服务器必须先具备什么条件呢?商标需要注意什么?如何设置BIMI?最终如何获取并使用VMC证书呢?
博客
常见的DNS记录类型有哪些?如何查询DNS解析记录?
12-23 548
​在线免费查询DNS解析记录的工具,该工具可以快速查出全球不同的地区的DNS映射节点对你的域名解析速度,及域名DNS信息,也能查询域名不同类型的解析记录,比如A记录,CNAME记录,TXT记录等。
博客
为什么安卓应用程序需要代码签名证书?
12-07 274
随着智能手机和安卓系统的日益普及,安卓APP被广泛使用。截至2022年6月,Google Play商店有超过268万Android应用。与之同时针对安卓用户的恶意软件攻击激增。如何防止恶意软件渗透,保护安卓应用程序代码安全,为最终用户提供安全可信赖的Android应用呢?实现代码安全性的完美解决方案是使用代码签名证书。那么,为什么Android应用需要代码签名证书?
博客
2022年数字信任状况调查:84%的客户考虑弃用没有数字信任的供应商
11-24 877
DigiCert的最新研究发现,数字信任是客户忠诚度的关键驱动因素,84%的客户表示,他们会考虑弃用没有管理数字信任的供应商。
博客
PhishLabs:金融业的钓鱼攻击大幅增长,入侵现有网站成为钓鱼活动首选策略
11-16 191
虽然入侵网站在钓鱼攻击所用策略中占比最大,但在第三季度,URL缩短程序、免费域名注册和开发人员工具的滥用行为都有所增加,这表明犯罪分子对建立无成本投入的恶意基础设施的兴趣有增无减。每个季度,Agari和PhishLabs都会检测到数十万起针对企业、企业品牌及其员工的网络钓鱼和社交媒体攻击。在这篇文章中,我们分析了针对企业、他们的品牌和客户的网络钓鱼活动。在第三季度,网络钓鱼活动数量环比增加,其中在9月份攻击活动数量突破今年第二高。本季度的网络钓鱼数量与去年同期类似,夏季有所下降,秋季有所上升。
博客
分享一个免费的CT Log工具,用于查询SSL证书签发记录
11-14 454
不管哪种方式查询的方式CT Log查询工具都能显示证书主题,证书保护域名,有效期时长,剩余时间,当前证书状态,签发单位,点击详情还能查看到证书信息。
博客
443端口是什么,如何启用?
11-07 3333
简单地说,网络中的端口是与网络协议相关联的软件定义的数字,用于接收或传输特定服务的通信。端口确保网络连接到达正确的地址,保证线路稳定。端口号用 16 位无符号整数标识每个传输协议和地址组合。所有连接网络的设备都配备了具有指定编号的标准化端口。总共有 65,535 个端口号分配给不同的协议,分为三个范围:知名端口号、注册端口号和动态或私有端口号。
博客
如何查看SSL证书的OCSP服务器IP地址?
10-31 321
SSL数字证书均拥有OCSP验签服务器,方便进行SSL证书签发状态验证,但不同的OCSP服务器IP地址的验签速度略有不同。想要了解OCSP验签服务器的访问速度,首先需要知道如何查看OCSP服务器IP地址。
博客
2022年9月全球数字安全最新新闻汇总
10-14 200
以下是锐成云资讯整理的2022年9月全球数字安全的最新新闻汇总。
博客
怎么配置内网IP SSL证书?
10-11 1967
目前,支持内网IP地址https加密的SSL证书有锐安信、CFCA等国产品牌,当获取到内网IP SSL证书后,即可在服务器(常见类型如Nginx,Apache,Tomcat,IIS等)上完成配置。内网IP地址实现https认证的过程与域名ssl证书安装教程类似。当完成服务器端配置内网IP 证书后,用户还需要进行根证书导入客户端才能最终实现https加密,并消除不安全警告。
博客
SHA 256算法是什么?哈希算法有哪些特点,主要应用在哪里?
10-08 1708
无论数字证书品牌、价格和类型如何,所有SSL证书的通用规范是采用SHA 256算法,您可以在证书详细信息或产品信息中列出的功能中看到。对于非技术人员来说,SHA 256 算法通常是个谜,但是锐成信息将用通俗的语言向您展示SHA256是什么以及它是如何工作的。
博客
Tomcat服务器安装ssl证书教程
09-29 2202
如何在Tomcat服务器上安装配置SSL证书?视频以锐安信(sslTrus)SSL证书为例介绍服务器证书配置流程,为网站实现https加密保护!
博客
如何在apache服务器安装锐安信ssl证书?
09-22 843
本篇介绍如何在Apache服务器中安装锐安信ssl证书,使Apache服务器支持HTTPS安全访问。
博客
域名生命周期是多久,有几个阶段?
09-21 421
域名生命周期是指域名从开始到域名结束的阶段。一般来说,一个域名的生命周期有五阶段,分别是:可注册期、已注册期、注册商保留期、赎回宽限期、待删除期。
博客
SSL证书过期怎么办?别慌!SSL应急解决方案及注意事项来了
09-16 1338
SSL证书过期怎么办?SSL证书过期前您需要了解证书生命周期,SSL证书续费模式等注意事项,当遇到 SSL证书过期之后才发现还没有续费应采用应急解决方案:联系SSL供应商,如锐成信息申请临时的 DV SSL 先保证网站的正常运作,然后再选择续费SSL证书,完成更新部署。
博客
为什么局域网需要https加密?如何选择内网SSL证书?
09-13 1039
​目前内网SSL证书主要分为单IP证书、单域名证书、多IP证书、 多域名证书、通配符证书、IP域名混合证书。内网IP证书相对较少,不过CFCA内网IP SSL证书可以支持IP地址加密,而内网域名安全证书有很多品牌可以选择,比如锐安信、CFCA、GlobalSign、Digicert等。锐成针对内网SSL证书​的需求,提供相应的技术解决方案,帮助用户解决内网设备通信安全连接的难题.
博客
SSL证书申购指南教程
09-08 892
如何申请SSL证书?请参照申购SSL证书流程四步即可获得证书:订购SSL证书、提交申请资料、配合完成验证、下载SSL证书。
博客
免费SSL证书和付费SSL证书的区别在哪儿?
08-18 565
免费SSL证书,虽然可以在无成本的情况下为客户提供基础安全的服务,但近年来爆出的安全事件说明,免费SSL证书恐怕只是看起来很美,实际上并不适合商业用户。
博客
盘点四个入门级SSL证书
08-09 296
入门级SSL证书到底有哪些,来看看个人网站、博客网站及小微企业常用的四个入门级SSL证书品牌,了解为什么选择入门级SSL证书。
博客
IP SSL证书支持内网HTTPS加密吗?
08-02 326
通常我们见到的SSL证书是绑定在域名上,对网站域名进行传输数据的安全保护和身份认证。此外,很多CA机构签发的SSL证书也是支持IP地址HTTPS加密的,比如等,这些品牌主要保护公网IP地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值