幾年前，網(wǎng)絡(luò)上的我們幾乎是透明的，除了數(shù)據(jù)傳輸過程本身不安全外，還需要擔(dān)心下載的文件是否有病毒、蠕蟲或流氓插件。而得益于近年來安全標(biāo)準(zhǔn)的不斷提高和行業(yè)發(fā)展的日新月異，及時跟隨系統(tǒng)和軟件更新并做好必要安全措施的用戶“中毒”的可能性已越來越小。

　　這里如果我們要拉一位功臣走上領(lǐng)獎臺，CA認(rèn)證當(dāng)之無愧。通過CA 認(rèn)證頒發(fā)的SSL 證書可輕松實現(xiàn)網(wǎng)絡(luò)通訊加密的目標(biāo)，在保證數(shù)據(jù)安全的同時還能解決部分網(wǎng)頁亂彈廣告等運營商劫持問題。

　　今天，天威誠信就和大家聊一聊一直為我們的網(wǎng)絡(luò)瀏覽和數(shù)字安全保駕護航的CA 認(rèn)證。

　　當(dāng)CA認(rèn)證遇上根證書……

　　CA全稱Certificate Authority，即證書頒發(fā)機構(gòu)。

　　CA頒發(fā)的證書就像我們購買商品時看到的防偽標(biāo)簽，在對商品來源一無所知的時候，可以靠它來初步判斷商品真?zhèn)?。通常而言，一份有效的CA 證書包含公鑰和私鑰兩部分，二者相互加密、解密，即公鑰加密、私鑰解密或私鑰加密、公鑰解密。

　　這個非對稱加密過程(即加密、解密過程使用的密鑰不同且成對)保護著互聯(lián)網(wǎng)大部分通信過程。

　　CA認(rèn)證的邏輯從授權(quán)結(jié)構(gòu)上理解大概是：所有的證書都有一定的證書路徑，證書路徑則從根證書開始。例如操作系統(tǒng)或應(yīng)用程序自帶數(shù)個根證書，它們在該操作系統(tǒng)中是被認(rèn)為可信的;在此前提下，由這些有效根證書頒發(fā)的二級、三級證書將一同被認(rèn)為是可信的。

　　這些根證書的入庫標(biāo)準(zhǔn)則是CA 組織的信譽。若CA 組織做出了違背安全原則的頒發(fā)操作，各大組織(主要是Apple、Mozilla與Microsoft)會把失信組織的根證書從信任庫中刪除。某些組織曾因為信度低或是篡改證書簽發(fā)日期被各大組織從信任證書庫中剔除。

　　這種認(rèn)證邏輯導(dǎo)致CA 認(rèn)證并不是絕對可信的，歷史上也曾出現(xiàn)過多次CA 根證書機構(gòu)濫用簽發(fā)權(quán)導(dǎo)致不再被信任的事件。

　　根證書在這里的作用可以這樣理解：衛(wèi)龍因為生產(chǎn)辣條時遵守的標(biāo)準(zhǔn)高而受到產(chǎn)業(yè)的認(rèn)可，那么它旗下的產(chǎn)品通常將一并被認(rèn)可。

　　為什么信任CA 認(rèn)證體系？

　　一方面，根證書庫的更新并不頻繁，各大公司對根證書的增、刪也較為謹(jǐn)慎。在此條件下，操作系統(tǒng)對安裝新的根證書的操作更是百般阻攔、層層設(shè)限。

　　所以在這個體系下造出一個自己的證書并誘導(dǎo)用戶安裝并開啟是有一定難度的，相對應(yīng)的，那些「有效證書」的信度也相對較高。

　　另一方面，目前針對HTTP 的證書分為三個等級：EV、OV和DV，驗證強度和可信程度逐級遞減。

　　EV是等級最高的證書，不僅要支付一筆不算便宜的申請費，還需要提交鄧白氏碼等輔助驗證信息才可申請。EV證書的安全性、可信性也是最高的，它的加密算法可選用更高的強度，網(wǎng)頁瀏覽時也將會同步顯示公司名稱。

　　而DV證書只需要驗證域名所有權(quán)或是服務(wù)器所有權(quán)即可頒發(fā)，一般只用來保證連接在加密的狀態(tài)下運行，不在對安全性要求高的場合(如支付、購物等)使用。

　　如今的網(wǎng)絡(luò)環(huán)境下，大面積爆發(fā)殺傷力強大的木馬病毒的幾率逐漸在變小，最近的一次WannaCry病毒借助操作系統(tǒng)漏洞傳播，但及時更新補丁包的普通用戶被波及的可能性并不高。除此之外，我們在網(wǎng)絡(luò)上的通訊變得可靠了、連接變得私密了，運營商劫持也因為SSL 的加入慢慢淡出主流視線。

　　而這些改進，有很一大部分要歸功于CA 證書的引入。再次回想HTTP時代，數(shù)據(jù)包經(jīng)過的任何一跳都可以對它進行修改、攔截，數(shù)據(jù)安全沒有保障。令人高興的是，互聯(lián)網(wǎng)越來越重視隱私保護與信息安全，SSL 證書的加入營造了更好的互聯(lián)網(wǎng)空間。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。