在互联网安全通信方式上,目前用的最多的就是https配合ssl和数字证书来保证传输和认证安全了,而数字证书在ssl传输过程中扮演着身份认证和密钥分发的功能。那么究竟什么是数字证书呢?
什么是数字证书?
简而言之数字证书是一种网络上证明持有者身份的文件,同时还包含有公钥。一方面,既然是文件那么就有可能“伪造”,因此,证书的真伪就需要一个验证方式;另一方面,验证方需要认同这种验证方式。
数字证书可以由国际上公认的证书机构颁发,这些机构是公认的信任机构,一些验证证书的客户端应用程序:比如浏览器,邮件客户端等,对于这些机构颁发的证书完全信任。当然想要请这些机构颁发证书可是要付“到了斯”的,通常在windows部署系统的时候会让客户端安装我们自己服务器的根证书,这样客户端同样可以信任我们的证书。而客户端程序通常通过维护一个“根受信任机构列表”,当收到一个证书时,查看这个证书是否是该列表中的机构颁发的,如果是则这个证书是可信任的,否则就不信任。
数字证书的信任问题?
作为一个https的站点需要与一个数字证书绑定,无论如何,数字证书总是需要一个机构颁发的,这个机构可以是国际公认的证书机构,也可以是任何一台安装有证书服务的计算机。客户端是否能够信任这个站点的证书,首先取决于客户端程序是否导入了证书颁发者的根证书
有时一个证书机构可能授权另一个证书机构颁发证书,这样就出现了证书链。IE浏览器在验证证书的时候主要从下面三个方面考察,只要有任何一个不满足都将给出警告
证书的颁发者是否在“根受信任的证书颁发机构列表”中
证书是否过期?
证书的持有者是否和访问的网站一致,另外,浏览器还会定期查看证书颁发者公布的“证书吊销列表”,如果某个证书虽然符合上述条件,但是被它的颁发者在“证书吊销列表”中列出,那么也将给出警告。每个证书的CRL Distribution Point字段显示了查看这个列表的url。尽管如此,windows对于这个列表是“不敏感”的,也就是说windows的api会缓存这个列表,直到设置的缓存过期才会再从CRL Distribution Point中下载新的列表。目前,只能通过在证书颁发服务端尽量小的设置这个有效期(最小1天),来尽量使windows的客户端“敏感”些。
以上就是数字证书原理相关内容相关信息,更多请关注上海CA中心其它相关文章!上海CA中心成立于1998年,是中央密码工作领导小组批准的唯一试点,为政府、企事业单位、个人等提供合法合规的第三方电子认证、数字身份相关产品和集成实施服务!
,
