幾年前，網(wǎng)絡(luò)上的我們幾乎是透明的，除了數(shù)據(jù)傳輸過(guò)程本身不安全外，還需要擔(dān)心下載的文件是否有病毒、蠕蟲(chóng)或流氓插件。而得益于近年來(lái)安全標(biāo)準(zhǔn)的不斷提高和行業(yè)發(fā)展的日新月異，及時(shí)跟隨系統(tǒng)和軟件更新并做好必要安全措施的用戶“中毒”的可能性已越來(lái)越小。

　　這里如果我們要拉一位功臣走上領(lǐng)獎(jiǎng)臺(tái)，CA認(rèn)證當(dāng)之無(wú)愧。通過(guò)CA 認(rèn)證頒發(fā)的SSL 證書(shū)可輕松實(shí)現(xiàn)網(wǎng)絡(luò)通訊加密的目標(biāo)，在保證數(shù)據(jù)安全的同時(shí)還能解決部分網(wǎng)頁(yè)亂彈廣告等運(yùn)營(yíng)商劫持問(wèn)題。

　　今天，天威誠(chéng)信就和大家聊一聊一直為我們的網(wǎng)絡(luò)瀏覽和數(shù)字安全保駕護(hù)航的CA 認(rèn)證。

　　當(dāng)CA認(rèn)證遇上根證書(shū)……

　　CA全稱Certificate Authority，即證書(shū)頒發(fā)機(jī)構(gòu)。

　　CA頒發(fā)的證書(shū)就像我們購(gòu)買(mǎi)商品時(shí)看到的防偽標(biāo)簽，在對(duì)商品來(lái)源一無(wú)所知的時(shí)候，可以靠它來(lái)初步判斷商品真?zhèn)?。通常而言，一份有效的CA 證書(shū)包含公鑰和私鑰兩部分，二者相互加密、解密，即公鑰加密、私鑰解密或私鑰加密、公鑰解密。

　　這個(gè)非對(duì)稱加密過(guò)程(即加密、解密過(guò)程使用的密鑰不同且成對(duì))保護(hù)著互聯(lián)網(wǎng)大部分通信過(guò)程。

　　CA認(rèn)證的邏輯從授權(quán)結(jié)構(gòu)上理解大概是：所有的證書(shū)都有一定的證書(shū)路徑，證書(shū)路徑則從根證書(shū)開(kāi)始。例如操作系統(tǒng)或應(yīng)用程序自帶數(shù)個(gè)根證書(shū)，它們?cè)谠摬僮飨到y(tǒng)中是被認(rèn)為可信的;在此前提下，由這些有效根證書(shū)頒發(fā)的二級(jí)、三級(jí)證書(shū)將一同被認(rèn)為是可信的。

　　這些根證書(shū)的入庫(kù)標(biāo)準(zhǔn)則是CA 組織的信譽(yù)。若CA 組織做出了違背安全原則的頒發(fā)操作，各大組織(主要是Apple、Mozilla與Microsoft)會(huì)把失信組織的根證書(shū)從信任庫(kù)中刪除。某些組織曾因?yàn)樾哦鹊突蚴谴鄹淖C書(shū)簽發(fā)日期被各大組織從信任證書(shū)庫(kù)中剔除。

　　這種認(rèn)證邏輯導(dǎo)致CA 認(rèn)證并不是絕對(duì)可信的，歷史上也曾出現(xiàn)過(guò)多次CA 根證書(shū)機(jī)構(gòu)濫用簽發(fā)權(quán)導(dǎo)致不再被信任的事件。

　　根證書(shū)在這里的作用可以這樣理解：衛(wèi)龍因?yàn)樯a(chǎn)辣條時(shí)遵守的標(biāo)準(zhǔn)高而受到產(chǎn)業(yè)的認(rèn)可，那么它旗下的產(chǎn)品通常將一并被認(rèn)可。

　　為什么信任CA 認(rèn)證體系？

　　一方面，根證書(shū)庫(kù)的更新并不頻繁，各大公司對(duì)根證書(shū)的增、刪也較為謹(jǐn)慎。在此條件下，操作系統(tǒng)對(duì)安裝新的根證書(shū)的操作更是百般阻攔、層層設(shè)限。

　　所以在這個(gè)體系下造出一個(gè)自己的證書(shū)并誘導(dǎo)用戶安裝并開(kāi)啟是有一定難度的，相對(duì)應(yīng)的，那些「有效證書(shū)」的信度也相對(duì)較高。

　　另一方面，目前針對(duì)HTTP 的證書(shū)分為三個(gè)等級(jí)：EV、OV和DV，驗(yàn)證強(qiáng)度和可信程度逐級(jí)遞減。

　　EV是等級(jí)最高的證書(shū)，不僅要支付一筆不算便宜的申請(qǐng)費(fèi)，還需要提交鄧白氏碼等輔助驗(yàn)證信息才可申請(qǐng)。EV證書(shū)的安全性、可信性也是最高的，它的加密算法可選用更高的強(qiáng)度，網(wǎng)頁(yè)瀏覽時(shí)也將會(huì)同步顯示公司名稱。

　　而DV證書(shū)只需要驗(yàn)證域名所有權(quán)或是服務(wù)器所有權(quán)即可頒發(fā)，一般只用來(lái)保證連接在加密的狀態(tài)下運(yùn)行，不在對(duì)安全性要求高的場(chǎng)合(如支付、購(gòu)物等)使用。

　　如今的網(wǎng)絡(luò)環(huán)境下，大面積爆發(fā)殺傷力強(qiáng)大的木馬病毒的幾率逐漸在變小，最近的一次WannaCry病毒借助操作系統(tǒng)漏洞傳播，但及時(shí)更新補(bǔ)丁包的普通用戶被波及的可能性并不高。除此之外，我們?cè)诰W(wǎng)絡(luò)上的通訊變得可靠了、連接變得私密了，運(yùn)營(yíng)商劫持也因?yàn)镾SL 的加入慢慢淡出主流視線。

　　而這些改進(jìn)，有很一大部分要?dú)w功于CA 證書(shū)的引入。再次回想HTTP時(shí)代，數(shù)據(jù)包經(jīng)過(guò)的任何一跳都可以對(duì)它進(jìn)行修改、攔截，數(shù)據(jù)安全沒(méi)有保障。令人高興的是，互聯(lián)網(wǎng)越來(lái)越重視隱私保護(hù)與信息安全，SSL 證書(shū)的加入營(yíng)造了更好的互聯(lián)網(wǎng)空間。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。