上一篇
https证书的基本体系
HTTPS证书体系基于PKI架构,核心包含CA认证、公私钥对及数字签名,CA核验主体身份后签发含公钥的证书,私钥用于服务器解密;浏览器通过证书链(根CA→中间CA→服务器)验证可信性,配合SSL/TLS协议实现加密传输与身份鉴权,确保web通信
HTTPS证书的基本体系
证书颁发机构(CA)
HTTPS证书由受信任的第三方机构(称为证书颁发机构,CA)签发,用于验证服务器身份,CA分为两类:
- 公信CA:如Let’s Encrypt、DigiCert、GlobalSign等,浏览器和操作系统默认信任。
- 自签名CA:企业或组织自行创建,仅内部信任,浏览器通常提示“不安全”。
证书类型
根据验证强度和用途,HTTPS证书分为三类:
| 证书类型 | 验证对象 | 颁发速度 | 浏览器显示 | 适用场景 |
|---|---|---|---|---|
| DV SSL(域名验证) | 仅验证域名所有权 | 快(分钟级) | 无特殊标识 | 个人网站、测试环境 |
| OV SSL(组织验证) | 验证域名和组织信息 | 较慢(小时级) | 显示组织名称 | 中小企业官网 |
| EV SSL(扩展验证) | 严格验证企业法律身份 | 慢(多日) | 绿色地址栏+组织名称 | 金融、电商等高信任场景 |
证书组成结构
一个完整的HTTPS证书包含以下核心字段:
| 字段名称 | 作用描述 |
|---|---|
| Subject | 证书持有者信息(如域名、组织名称) |
| Issuer | 签发证书的CA名称 |
| Valid From/To | 证书有效期(通常1年,EV证书最长可选3-5年) |
| Public Key | 用于客户端加密数据的公钥(通常为RSA或ECDSA算法) |
| Signature | CA对证书内容的签名(确保未被改动) |
| Certificate Chain | 中间证书链(用于浏览器验证CA合法性) |
验证方式
申请证书时需通过以下方式证明身份:
- 域名验证(DV):
- 方式:DNS记录修改、文件上传或邮件验证。
- 示例:在域名解析中添加特定TXT记录(如
_acme-challenge.example.com)。
- 组织验证(OV/EV):
- 额外步骤:提交企业营业执照、法人身份证明、联系方式等。
- EV需人工审核,确保企业实体真实存在。
证书有效期与续期
| 证书类型 | 最长有效期 | 续期规则 |
|---|---|---|
| DV SSL | 90天 | 自动续签(如Let’s Encrypt) |
| OV SSL | 1-2年 | 需重新验证域名和组织信息 |
| EV SSL | 3-5年 | 需重新提交企业资质 |
相关问题与解答
问题1:为什么HTTPS证书需要定期更新?
解答:
- 安全风险:长期有效的私钥可能被破解(如SHA-1算法已被淘汰)。
- 技术迭代:浏览器和CA会淘汰旧算法(如1024位RSA),强制更新以提升安全性。
- 信息变更:企业信息(如域名、公司名称)变动时需重新验证。
问题2:浏览器提示“证书不安全”的可能原因有哪些?
解答:
- 证书过期:超过
Valid To时间未续期。 - 域名不匹配:证书绑定的域名与访问的URL不一致(如
.example.com不能覆盖api.example.com)。 - 自签名证书:未被公信CA签发,浏览器默认不信任。
- 证书链不完整:缺少中间证书导致无法验证CA合法性
