证书

当我们访问一个网站，如何确定这个网站是真的？只要路由器被掌控，就可能跳到一个假ip的假网站，我们需要想办法验证访问的ip地址是真的，就可以通过验证证书做到。

证书体系需要有一个发放和认证证书的机构（CA），是由各个国家政府金融联合成立的。国内的证书首先是银联啥的发布（一开始浏览器是不认的，无法确认是安全的），这种情况我们可以把我们认为安全的证书手动存到操作系统里，之后浏览器才会认为这个网站安全。

我们一开始先往自身操作系统植入了CA认证的公钥，在出厂就会被做到镜像里，自己就能验证证书是否合法，只要有顶级的证书，就可以对下面任意一级做验证。

应用证书进行验证时，流程大概为，接收消息的一方首先生成一个密钥对，包括公钥和私钥，认证机构用自己的私钥给消息接收方生成一个证书，来证明给大家他的公钥属于他，消息发送者会得到这份证书（该证书有消息接收方的公钥），我们本地有了根证书，就可以验证发过来的证书是不是合法的，如果它是合法的，那么消息发送者就可以发送消息，该消息会用消息接收方的公钥进行加密，接收到消息后用自己的私钥解密（私钥都是自己持有的），得到消息。

 常见的证书基本都基于X.509标准，X.509是一种非常通用的证书格式。结构为由公钥和私钥组成的密钥对构建，同样也适用于应用程序安全的代码签名、数字签名和其他重要的互联网协议。

如何查看网站证书，以中国工商银行官网为例：

 

在这里可以看到证书层级。 

 这个就是根，操作系统一出厂就有这个根证书。

 验证过程：Internet选项 -> 内容 -> 证书，查找该证书是否已在信任列表中，然后对证书进行校验。