证书颁发机构是 SSL 行业的支柱,也是支撑所有加密和安全流程的脊梁。 没有证书颁发机构,我们就无法创建或申请 SSL 证书。
无论你是需要自签名证书来保护内联网组织的安全,还是需要公共 SSL 证书来保护网站的安全,都需要一个证书颁发机构来管理 SSL 的颁发过程。 那么,什么是证书颁发机构? 本指南提供了答案。
目录
- 什么是证书颁发机构?
- 证书颁发机构的历史是怎样的?
- 谁来监管证书颁发机构?
- 证书颁发机构有哪些类型?
- 受信任的证书颁发机构列表是什么?
- 什么是最好的证书颁发机构?
- 什么是最便宜的证书颁发机构?
- 不受信任的证书颁发机构列表是什么?
- 能否创建自己的证书颁发机构?
什么是证书颁发机构?
证书颁发机构(CA)或认证机构是一个受信任的实体,负责颁发数字证书,以确认域名所有权和申请人的身份。 CA 在浏览器和服务器之间建立信任和安全通信方面发挥着根本性的作用,它可以验证有关客户或组织确实是他们声称的那个人。
任何人都可以成为 CA 并签发自签证书,但只有少数几家公司最终会为公众签发 SSL/TLS 证书。
证书颁发机构做什么?
从本质上讲,证书颁发机构所做的只是验证申请 SSL 证书的个人或公司的身份。 该流程与公证员的工作方式类似。 在幕后,公共 CA 遵循严格的准则并通过定期审计检查,以符合最新的行业惯例。
证书颁发机构如何工作?
根据 SSL 验证级别的不同,CA 会进行大量检查,以确定域名所有权和企业身份。 如果您申请域名验证证书,您的证书颁发机构将使用几种快速方法来确认您拥有该域名。 但是,如果您订购的是商业验证或扩展验证证书,CA 将通过本地公共数据库或使用您的LEI 号码进行彻底审查。
证书颁发机构对申请人进行验证后,会用其根 CA 和中间 CA 证书签署数字证书,从而完成 SSL 信任链,使 SSL 证书与所有浏览器兼容。
CA 是证书状态的最终拥有者,也是所有其他机构信任的实体。 它能确保整个 SSL 生态系统的安全,减少潜在的数据泄露。 如果 CA 根被破坏,浏览器和应用程序将不再信任它,它的存在很可能就此终结。
网络上的普遍信任并非理所当然。 这有赖于安全指令和 SSL 行业决策者之间的高效合作。 就像网络加密从第一份现已失效的 SSL 协议草案到今天已经走过了漫长的道路一样,CA 也经历了起起伏伏,才有了今天的可靠性。
在下面的章节中,您将了解证书颁发机构的简要历史以及最终由谁监管它们。
证书颁发机构的历史是怎样的?
1995 年,南非裔英国青年企业家马克-理查德-沙特尔沃思创立了 Thawte。 Thawte 在沙特尔沃思父母的车库里运行,成为第一家在美国境外签发公共 SSL 证书的证书颁发机构。
同年,在大西洋彼岸,从 RSA 安全认证服务业务分拆出来的威瑞信公司成立。 新公司担任证书颁发机构,并在随后几年中获得了约 50% 的市场份额。 另一半属于 Thawte。 威瑞信和 Thawte 都在第一代网景浏览器中使用了证书。
1999 年,威瑞信以 5.75 亿美元的价格从 Shuttleworth 手中收购了 Thawte,并在新千年伊始巩固了其市场领导者的地位。
大约在 2002 年,一个新的证书颁发机构成为人们关注的焦点。 如今享誉全球的 GeoTrust 品牌是第一家颁发公有领域验证 SSL 证书的 CA。
2007 年,ComodoCA(现为 Sectigo)组织了第一次CA/Browser 论坛会议。 由 CA、互联网浏览器和操作系统供应商组成的自愿联盟为第一份扩展验证指南的通过做出了贡献。
2010 年,威瑞信将其整个认证业务部门出售给赛门铁克,其中包括 SSL 证书、公钥基础设施、威瑞信信托和威瑞信身份保护认证服务。
在发生一系列安全事件后,赛门铁克于 2017 年将其数字证书业务出售给 DigiCert,包括 Verisign、Thawte、GeoTrust 和 RapidSSL 品牌。 整个交易价值 9.5 亿美元。
谁来监管证书颁发机构?
如果认证机构负责 SSL 验证和撤销,那么谁来监管它们? 要回答这个问题,让我们来考察一下参与这一复杂过程的各方。
浏览器和应用程序
浏览器和应用程序定义了管理 CA 的规则。 所有浏览器的安装包(也称为根存储)中都包含受信任 CA 的信息。 只有当公共 CA 的根已经在根存储中标记为可信时,浏览器才会接受公共 CA 签发的 SSL 证书。
并非所有浏览器都有自己的可信根存储。 它们还依赖于客户操作系统的根存储。 如果 CA 的根签发的数字证书不在浏览器或操作系统的根存储中,浏览器会警告用户不要信任 SSL 证书。
但浏览器如何确定要信任哪些 CA 根呢? 嗯,他们一直都有关于 CA 应如何运作的预定规则。 此外,他们还在不断改进,以建立高端安全标准。
随着时间的推移,他们已经成功淘汰了 MD5 和 SHA-1 等较弱的算法。 他们还删除了过时的密钥大小,如 512 位和 1024 位。 如果 CA 不符合浏览器的详尽要求,就会从浏览器的受信根存储中删除。
浏览器和 CA
浏览器对 CA 的运行方式有很大发言权。 然而,浏览器并不是监管可信证书颁发机构的唯一实体。 经浏览器批准,CA 本身采用了几项基本准则,彻底改变了 SSL 的格局。
CA 和浏览器联合成立了CA/Browser Forum,这是一个由 50 多个 CA 成员和 9 个浏览器成员组成的自愿组织,负责制定 SSL 行业标准。
Webtrust/ETSI 审计制度
CAB 论坛成员批准每套准则和更新后,将其提交给加拿大特许会计师协会/美国注册会计师协会或欧洲电信标准 协会(ETSI)。
新规则将成为新的 WebTrust 审核指南或 ETSI 标准。 最后,浏览器可以将其添加到可信根存储要求中,而 CA 必须遵守这些要求。
总之,浏览器和 CA 共同监督着所有网络安全问题。 他们在改进 SSL 行业标准方面的共同努力,使 SSL 加密变得安全可靠,让黑客无从下手。
证书颁发机构有哪些类型?
在讨论不同的证书颁发机构类型时,我们必须根据它们的层次结构、产品和信任级别进行分类。 我们先来看看由根 CA、中间 CA 和签发 CA 组成的分级顺序。
什么是根证书颁发机构?
根证书颁发机构是对浏览器和操作系统默认信任的根证书进行自我签名的 CA。 由于这些证书无需进一步验证即可生效,因此它们被存储在物理设备上,并被保存在戒备森严的保险库中。
什么是中级证书颁发机构?
中间认证机构是不受浏览器和操作系统信任的 CA,但其证书由根 CA 签发。 如果应用程序可以验证由中间 CA 签发的证书可以追溯到根 CA,那么这些证书就被认为是有效的。
中间 CA 的作用是在根 CA 和签发 CA 之间充当额外的安全层。 如果出现安全漏洞,中间 CA 将减轻潜在的安全影响。
什么是颁发证书机构?
签发证书机构是向最终用户提供 SSL 证书的 CA。 它从属于中间 CA,中间 CA 使用其公开密钥签署签发 CA。 由签发 CA 签发的证书有效期为一年,只有在证书与各自的中间机构和根链接时,浏览器才会信任这些证书。
说到信任,CA 主要分为两个分支:公共 CA 和私有证书颁发机构。
公用证书颁发机构和私有 CA 有什么区别?
公共证书颁发机构是由第三方组织控制的可信 CA,通常用于向公众颁发 SSL 证书。 浏览器和操作系统信任其 SSL 证书的所有商业和开源 CA 都是公共证书颁发机构。 而公共 CA 又可进一步分为商业 CA 和开源 CA。
商业 CA提供具有最高信任度和安全性的付费数字证书。 它们是唯一提供商业验证、扩展验证和多域 SSL 证书的 CA。
开源 CA可签发浏览器和操作系统信任的免费 SSL 证书。 这些 CA 只能验证域名所有权,适用于不涉及在线交易的个人网站、博客或在线投资组合。
私人证书颁发机构是由单个组织运营的 CA,一般用于向其设备和员工颁发数字证书。 专用 SSL 证书仅用于内部服务器和机器。
什么是受信任的证书颁发机构列表?
所有公共 CA 都是可信 CA,因为它们的根证书已包含在浏览器的预安装包或根存储中。 以下是您可以完全信任的商业和开源 CA 列表。
值得信赖的商业 CA
Digicert – 是一家在高保障 SSL 市场上运营的高级证书颁发机构。 财富 500 强企业和全球 100 强银行中有 97 家使用 DigiCert 服务对其网站和设备进行加密。
Sectigo (前身为 Comodo)- SSL 行业最知名的公司之一,提供经济实惠的证书,满足各种需求。 全球有 300 多万客户使用 Sectigo 产品。
Thawte – 是历史最悠久的证书颁发机构,在高级 SSL 领域拥有良好的声誉和安全解决方案。 Thawte SSL 证书是信任和可靠性的有力指标。
GeoTrust – 另一个顶级 CA,为 150 个国家的 100,000 多家国际客户提供服务。 GeoTrust 证书具有高 SSL 保证和动态网站封印功能,可提高用户的信任度。
RapidSSL – CA 仅验证域名所有权。 它是小型网站和企业的最佳选择。 RapidSSL 采用全自动颁发流程,只需 5 分钟即可颁发一流的数字证书。
值得信赖的开源 CA
Let’s Encrypt– 最大的开源 CA,提供适用于个人网站、博客和信息平台的免费域名验证 SSL 证书。 Let’s Encrypt 证书有其局限性,可能与某些服务器或电子邮件客户端不兼容。
什么是最佳证书颁发机构?
最好的证书颁发机构就是更适合您的特定预算和项目的机构。 廉价和昂贵的汽车都能把你从 A 地送到 B 地。
所有 SSL 证书都遵循相同的加密协议,并提供相同的加密强度。 因此,无论您使用的是 7 美元的证书还是高级证书,浏览器都会以同样的方式信任它。 CA 的区别在于其品牌形象、验证级别、额外功能和细分市场。
根据W3 Techs 的调查,2023 年 SSL 的市场份额如下:
- IdenTrust – 54.3
- Digicert 集团 – 15.7
- Sectigo – 14.3
- Let’s Encrypt – 6.3
- GoDaddy 集团 – 5.7
- GlobalSign – 3.7
- Certum – 0.7%。
现在你可能会问,IdenTrust 是谁,为什么我们到现在还没有提到他们? IdenTrust 本身是一家 CA,为金融机构、医疗保健提供商、政府机构和企业提供数字证书。
2015 年,IdenTrust 对Let’s Encrypt 的中间证书进行了交叉签名,这使得 Let’s Encrypt CA 可以在所有主流浏览器中得到信任。
如果我们不考虑开源 CA,只关注商业 CA 的市场份额,那么 Digicert 和 Sectigo 是全球最受欢迎的证书颁发机构。
什么是最便宜的证书颁发机构?
Sectigo(前身为 Comodo)是市场上最便宜的证书颁发机构,入门级域名验证证书每年的价格仅为 7 美元起。 Sectigo 是经济型 SSL 的代名词。
他们甚至还有一个名为Positive SSL的独家系列,提供经济实惠的证书,满足各种需求。 无论是小型企业网站还是高级多站点网络,Sectigo 都能满足您的需求。
什么是不可信任的证书颁发机构列表?
您可以找到许多针对不同浏览器和操作系统的受信任 CA 列表,但对于不受信任的证书颁发机构,该怎么办呢? 不受信任的 CA 已不复存在,只适用于案例研究和教育目的。
CA 几乎不可能被入侵,也不可能从重大安全漏洞中恢复过来。 下面我们举几个例子,说明 CA 遇到严重安全事件时会发生什么。
DigiNotar 事件
在第一批 CA 进入市场 15 年后,安全和证书签发程序仍然存在严重漏洞,并被网络攻击者无情地暴露出来。 2011 年,一名身份不明的攻击者获得了对DigiNotar重要 CA 系统的完全管理访问权限,给业界敲响了最大的警钟。
荷兰证书颁发机构为Google.com 颁发了流氓通配符证书,导致 30 多万伊朗 Gmail 用户受到中间人攻击。 所有主要的浏览器很快都不信任 DigiNotar,于是它申请了自愿破产。
赛门铁克 CA 的终结
尽管 DigiNotar 在市场上是一条相对较小的 “鱼”,但几年后赛门铁克的遭遇使 CA 行业面临着更大的压力和审查。 2015 年,谷歌发现赛门铁克在未经域名所有者授权的情况下,故意为 76 个不同的域名签发了100 多个测试证书。
起初,谷歌要求赛门铁克采取新的预防措施,并接受第三方安全审计,但后来由于赛门铁克不断犯错,所有主要浏览器都不信任赛门铁克。
赛门铁克的失败可能会关闭 SSL 生态系统,因为这家当时最大的 CA 发行了网络上三分之一的数字证书。 由于数以百万计的证书受到影响,而谷歌 2018 年的不信任期限又迫在眉睫,赛门铁克同意将其整个数字证书业务出售给其主要竞争对手 DigiCert。
截至 2018 年 10 月,DigiCert已重新验证了 50 多万个企业身份,更换了 500 多万个受影响的证书。
您能创建自己的证书颁发机构吗?
任何人都可以创建 CA,并为其组织或自定义服务器颁发自签名证书。 使用 Microsoft CA 或OpenSSL 实用程序等工具,可以相对快速地建立私人证书授权。 以下是建立自己的 CA 的一般步骤:
- 为 CA 创建目录和配置文件。
- 生成私钥和根证书。
- 将根证书添加为网络上的受信任证书。
- 配置 Microsoft CA 或 OpenSSL,使用服务器的私钥和证书来签署证书请求。
- 生成 SSL 证书签名请求(CSR)。
- 根据需要创建自签名证书。
当然,浏览器和应用程序不会信任你的私人 CA,但它对保护内网网络安全和测试目的可能很有用
最终想法
证书颁发机构是网络加密的守护者。 通过先进的技术和严格的准则,他们对 SSL 签发过程进行操作和保护,使我们用户可以安全地浏览并与在线商店、银行和订阅服务共享敏感数据。
这本内容广泛的指南不仅解释了什么是证书颁发机构,还深入探讨了不同类型的 CA 及其用途。 希望您现在能更好地辨别公立 CA 和私立 CA,并选择最适合您的 CA。
常见问题
私人 CA 是免费的,但它们的证书是自签的,不适合在互联网上使用。 另一方面,公共 CA 既可以是免费的,也可以是商业性的。 浏览器和操作系统会信任由公共 CA 签发的免费或商业数字证书。
复制链接
根据 SSL 验证级别,CA 将进行一系列检查以确定身份。 对于域名验证证书,域名所有权验证是一个自动流程,要求申请人按照预先确定的步骤进行操作。
如果您申请商业或扩展验证 SSL,CA 将使用公共数据库来确认贵公司的身份。 如果未能做到这一点,CA 会要求您提交补充文件。
复制链接
确保 CA 可靠有效。 所有商业 CA 都提供可靠的数字证书,并在万一发生数据泄露或欺诈性签发时提供 SSL 保证。 其次,在获取数字证书之前,请确定您的网站需求和预算。 SSL 向导等工具可以帮助你为项目选择最合适的证书。
复制链接
