
什么是证书颁发机构?
无论是公有信任还是私有信任,证书颁发机构都是网络安全生态系统的关键组成部分。不熟悉它们?不了解它们如何运作?没问题。
阅读下文即可全面了解证书颁发机构,包括如何选择最适合您业务需求的证书颁发机构。
什么是证书颁发机构?
证书颁发机构 (CA),有时也称为认证机构,是验证网站、电子邮件地址、公司或个人数字身份的实体。他们使用称为数字证书的加密资产来做到这一点,这是一种证明真实性的方法。
例如,网络浏览器与 CA 合作对网站进行身份验证,确保网站不受黑客或攻击者入侵。如果没有证书颁发机构,那么通过互联网购物、办理银行业务或传输敏感信息将十分危险。前缀 https 中“s”代表安全,您可以从中得知网站的所有者已通过可信 CA 的验证。
公共 CA 与私有 CA:两者有何区别?
证书颁发机构要么是公共的,要么是私有的。尽管它们执行相似的功能,但这两个类别之间存在重要区别:
- 公共 CA:包括向公众提供服务的实体。他们的证书在全球范围内得到认可,因此适合保护网站、在线交易和其他数字用例。可用的公共 CA 数量有限,但它们与主要的网络浏览器提供商有着深厚的信任基础。
- 私有 CA:包括特定于企业内部使用的证书颁发机构。换句话说,他们专门为企业内部目的和用例颁发证书,例如私有网络和 VPN、用户身份验证和代码签名。此外,私有 CA 仅受该组织内部用户的‘信任’,很少向外部实体颁发证书。因此,私有 CA 通常也被称为“本地 CA”。
为什么证书颁发机构被认为是可信的?
公共 CA 是经过严格审查的实体,必须符合 CA/Browser 论坛制定的既定基准要求。证书颁发机构和互联网浏览器携手为不同数字证书的管理和颁发制定了更严格、更统一的标准。
由于这些基准要求,公共 CA 获得了全球认可,并被大多数应用程序所接受。但是,它们无法支持内部用例,这时便需要私有 CA 登场。每个私有 CA 都有一个策略,规定其用途以及颁发证书所使用的流程和控制措施。因此,人们也认为私有 CA 值得信赖且高度安全。
什么是数字证书?
简而言之,数字证书是证明设备、Web 服务器、用户或实体真实性的一种方式。它们的用途与驾照或护照类似,提供身份证明形式并核实某些许可。但是,数字证书不授予驾驶或进入某个国家/地区的许可,而是履行三个主要功能:
- 身份验证:数字证书充当凭证,用于验证获得证书的任何实体(例如网络域名或组织)的身份。
- 加密:数字证书通过加密在线提交的信息(例如用户名和密码或电子邮件)来保护互联网上的通信。
- 签名:数字证书确保经数字签名的文档不会被第三方修改,从而维护其完整性。
这一切都是通过公钥基础结构 (PKI) 实现的。简而言之,PKI 包括生成和存储加密密钥所需的所有硬件、软件、步骤和策略,这些资产促成加密、解密和验证。
公钥基础结构如何运作?
在 PKI 中,所有数字证书都连接到一对特定的密钥:公钥和私钥。每个加密资产都是用于加密和解密数据的一个长字符串。每个证书对于特定个人或实体来说都是独一无二的,就像用于识别身份的护照一样。
任何请求使用公钥的人都可以免费使用公钥,并可以在将敏感信息发送给关联实体之前对其进行加密。但是,该消息只能使用私钥解密,私钥只有公钥的所有者知道。
但是如何知道公钥的发件人是他们本人?简而言之,这时便需要证书。证书不仅包含公钥,还包含与其所有者、颁发证书的 CA、用于创建公钥的数据以及何时过期相关的信息。这有助于验证密钥确实属于声称拥有该密钥的实体,而不是攻击者。
什么是证书管理?
证书管理是在数字证书的整个生命周期(从配置到续订再到撤销)中对其进行管理的过程。对于证书日益增多的组织,管理证书并非易事。
随着数字证书使用率上升,手动管理流程(如电子表格)难以为继。许多企业正在改用生命周期管理工具,这些工具不仅可以全面了解其加密库存和证书资产,还可以提供急需的自动化层。
数字证书类型
数字证书作为隐私和保护的基础,对于保护在线互动至关重要。大多数证书颁发机构为各种用例、安全级别、合规性要求和其他应用程序提供许多证书类型。其中包括:
文档签名证书
顾名思义,文档签名证书用于签署电子记录。更重要的是,这些证书确保文档的完整性,验证内容未被篡改,并验证签名者的身份。文档签名证书对法律合同特别有用,因为它们可以帮助组织支持不可否认性。
代码签名证书
同理,代码签名证书允许软件开发人员对应用和程序进行数字签名。这确保最终用户可以验证他们收到的代码没有被修改或操纵,从而让双方不受欺诈、恶意软件和盗窃的侵害。
TLS/SSL 证书
最常见的两种数字证书类型也许是 TLS 和 SSL 证书。TLS 代表“传输层安全”,而 SSL 代表“安全套接字层”。 两者都是互联网安全协议,用于验证身份并建立加密的浏览器连接。
从技术上讲,SSL 证书已经过时,TLS 加密已取而代之。但是,“SSL”这个名称仍常用于指代传输层安全。这就是为什么您经常会看到这两个缩略词的组合:TLS/SSL。
这种类型的证书通常用于网站、客户端和服务器身份验证。在这个广泛的类别之下,有几种特定类型的 TLS/SSL 证书,包括:
- 扩展验证 (EV) 证书:EV SSL 证书提供了最高安全性以及最为严格的验证流程。当这种证书在网站上部署时,访客会看到挂锁图标、组织名称和 HTTP 后的“S”标识。此类证书通常用于需要保证身份以收集数据、处理登录信息或进行线上支付的 Web 应用程序。
- 组织验证 (OV) 证书:OV SSL 证书提供身份保证和加密,并且也最适合在交易期间加密用户信息。法律要求大多数面向消费者的网站部署 OV SSL 证书,确保在会话期间保持通信信息的机密性。
- 域验证 (DV) 证书:与只证明域控制的 EV 或 OV 证书相比,DV SSL 证书的身份验证要求更少。此类证书通常用于低风险的应用程序,例如博客、用户社区或信息网站。因此,DV 证书也更便宜,更容易获得。
- Wildcard SSL 证书:通配符 SSL 证书以机构验证级别进行验证,是一种具有成本效益的解决方案,可以保护基本域和任意数量的附属子域。 除了成本更低(相比于购买多个单独的证书)之外,由于用户不必提交多个证书签名请求或管理跨多个 URL 的多个 TLS/SSL 证书的到期日,此类证书也更加方便。
- 统一通信 (UC) SSL 证书:这些证书以扩展验证或机构验证级别进行验证。整合多个证书的有效方法是利用使用者可选名称 (SAN) 来节省成本。UC SSL 证书建立可信身份,并消除警告访客不要进入网站的浏览器通知。
为什么 TLS/SSL 证书至关重要?
出于各种原因,拥有来自信誉良好的证书颁发机构的受信 TLS/SSL 证书非常重要:
- 日益增多的合规性要求:欧洲实施的《通用数据保护条例》(英文简称 GDPR)正在全球范围内得到采用。违反《通用数据保护条例》标准的组织将面临巨额罚款或收入损失。
- 失去搜索引擎可见性:搜索引擎正在通过植入负面安全指标和从搜索引擎结果中删除网站来打击构成安全威胁的网站。
- 提高数据安全性:保护密码、信用卡号、金融交易和其他高价值数据至关重要。
- 重视可信身份:证书颁发机构可以验证组织的身份,确认企业对其域具有控制权,并确保证书的请求者是相关实体的员工。
想了解有关 TLS/SSL 证书的更多信息吗?欢迎查看我们最新的电子书。
公开信任的 CA 是如何运作的?
当申请人生成一对加密资产(公钥和私钥)以及证书签名请求 (CSR) 时,相关过程就开始了。简而言之,CSR 是一个编码文件,其中有要包含在证书中的公钥和其他相关信息。
这可能包括相应的域名、组织和联系信息,但具体将根据验证级别和预期用例而有所不同。但是,私钥始终是保密的,绝不应向任何人展示,包括 CA。
接下来,申请人向颁发证书的 CA 发送证书签名请求。然后,该 CA 组织将独立验证 CSR 中包含的信息是否正确。如果正确,该 CA 将使用自己的私钥对证书进行数字签名并将其发回,从而在此过程中增加一层信任。
最后,可以使用公钥对数字证书进行身份验证,例如当有人通过网络浏览器访问申请人的网站时。此外,浏览器确认自颁发证书的 CA 签名以来,证书的内容没有被修改或篡改。
什么是信任链?
信任链是证书用来验证颁发证书的 CA 真实性的层次结构。在此模型中,证书由信任链中较高级别的其他证书颁发和签署。 这使得任何想要验证证书真实性的人都可以将其追溯到 CA 的原始证书,即“根证书”。
总的来说,这个过程共有三个部分:
- 信任锚是源头 CA。他们的根证书通常预先下载到大多数浏览器的“信任库”中。
- 至少有一个像树一样从根证书发出多个分支的中间证书。它们在可信证书颁发机构和终端实体之间提供缓冲区。
- 终端实体证书验证网站、企业或个人的身份。信任链确保 CA 遵守合规标准,尤其是与安全性、隐私和可扩展性相关的标准。
如何选择证书颁发机构?
并非所有 CA 都旨在或能够保护您组织的特定用例。有些无法与您的 IT 基础结构一起使用,但另一些可能没有您想要的服务。以下是选择证书颁发机构时应记住的一些关键注意事项:
- CA 是否充分保护您的品牌?
- CA 是否遵循证书颁发机构浏览器论坛最佳实践?
- CA 是否提供灵活的许可和定价政策?
- CA 能否随您的组织一起发展,以满足当前和未来的需求?
- CA 是否积极参与 CA 安全理事会?
Entrust 是值得信赖的数字证书专家
无数组织选择 Entrust 来满足其公共和私有证书需求,其原因如下。作为全球认可的证书颁发机构,我们在证书颁发和管理方面拥有数十年的经验。此外,我们提供单一管理平台供您管理公共和私有证书,包括其他 CA 颁发的证书。
而且,作为 CA 安全委员会和 CA/浏览器论坛的创始成员,我们始终站在行业标准的前沿。凭借广泛的数字证书和解决方案组合,我们能为您提供的创新产品和服务源源不断。
借助 Entrust 屡获殊荣的证书平台,您将获得:
- 卓越支持
- 兼容性高,广泛适用于各浏览器
- 不受限制的重新签发次数
- 无限服务器许可 128 到 256 位加密