上一篇
https证书签名证书
HTTPS证书由权威CA签发,含数字签名验证服务器身份,确保加密通信安全
HTTPS证书与签名证书详解
HTTPS证书的核心作用
HTTPS证书(SSL/TLS证书)是网站身份验证和加密传输的核心工具,主要功能包括:
- 身份认证:证明服务器真实身份(如企业域名)。
- 数据加密:防止传输内容被窃听或改动。
- 信任链建立:通过CA(证书颁发机构)的签名实现浏览器信任。
签名证书的作用
签名证书是CA机构对服务器证书的数字化“盖章”,其核心价值包括:
- 验证合法性:确保证书由可信CA签发,而非伪造。
- 构建信任链:浏览器通过递归验证CA根证书→中间证书→服务器证书的信任关系。
- 防改动保障:签名机制确保证书内容未被修改(如域名、有效期等)。
证书链的组成与关系
| 证书类型 | 颁发机构 | 核心作用 | 信任级别 |
|---|---|---|---|
| CA根证书 | 顶级CA机构 | 信任链的起点(如DigiCert、Let’s Encrypt) | 最高信任等级 |
| 中间证书 | 根CA或下级CA | 连接根CA与服务器证书,减少根证暴露风险 | 中等信任等级 |
| 服务器证书 | 中间CA或根CA | 直接绑定域名,用于加密通信 | 依赖上级证书 |
签名证书的验证流程
- 客户端发起请求:浏览器向服务器索要证书。
- 证书链校验:
- 检查服务器证书是否由可信中间CA签名。
- 递归验证中间CA是否由根CA签名。
- 根CA的公钥已预装在操作系统或浏览器中。
- 有效性确认:
- 证书是否在有效期内。
- 域名是否与证书中的CN/SAN匹配。
- 证书吊销状态(通过CRL或OCSP检查)。
常见问题与解答
问题1:如何查看网站的证书链?
解答:
在浏览器中访问HTTPS网站,点击锁状图标→查看“证书信息”→切换到“详细信息”标签页→展开“证书链”选项,可看到根证书、中间证书及服务器证书的层级关系。
问题2:自签名证书为什么不被浏览器信任?
解答:
自签名证书是由网站自身生成并签名,未经第三方CA认证,浏览器默认仅信任预装的根CA,无法验证自签名证书的合法性,因此会提示安全风险,适用于内部测试环境,不推荐用于公共
