什么是根证书? SSL/TLS 的支柱

什么是根证书

你是否想过,为什么在网上商店输入信用卡信息或登录银行账户时会如此放心? SSL/TLS 证书基础设施是确保您的数据安全的无形但又必不可少的防线,而安全链的顶端就是根证书。 但什么是根证书,它是如何工作的? 没有根证书,网站就无法与用户建立信任关系。

本文将探讨根证书,解释它们的工作原理,以及为什么它们对保护在线互动至关重要。


目录

  1. 什么是根证书?
  2. 根证书的工作原理
  3. SSL 根证书的重要性
  4. SSL 根证书的类型
  5. 证书颁发机构如何管理根证书
  6. 根证书的潜在风险和问题

什么是根证书?

SSL 根证书证书链层次结构中最高级别的安全证书。 它由受信任的证书颁发机构(CA)颁发,根证书用于签署其他证书,如服务器或中间证书。

根证书安全地存储在操作系统或浏览器等受信任的存储库中,很少直接签发或安装。 相反,它用于验证低级证书的真实性。 如果服务器的 SSL 证书可以追溯到受信任的根证书进行验证,系统就知道可以信任该连接。

根 SSL 证书的一个例子是DigiCert 全球根 G2 证书,由著名的证书颁发机构(CA)DigiCert 颁发。 下面是其内容概要:

  • 主题:C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root G2
  • Issuer: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root G2. 签发者是签署证书的 CA,在这种情况下就是证书本身,因为它是根证书。
  • 有效期 :直至 2038 年 1 月 15 日
  • Serial Number: 03:3A:F1:E6:A7:11:A9:A0:BB:28:64:B1:1D:09:FA:E5
  • 签名算法: sha256RSA
  • Fingerprint:CB:3C:CB:B7:60:31:E5:E0:13:8F:8D:D3:9A:23:F9:DE:47:FF:C3:5E:43:C1:14:4C:EA:27:D4:6A:5A:B1:CB:5F

主题字段显示拥有证书的实体。 本例中是 DigiCert。 签发者是签署证书的 CA,在本例中是证书本身,因为它是根证书。

您还可以看到用于签署证书的散列和加密方法以及指纹–这是通过散列证书内容生成的证书唯一标识符,用于验证证书的真实性。


根证书的工作原理

让我们通过强调关键要素来逐步分解根证书如何建立信任:

  • CA:由根证书颁发机构创建根证书。 该证书是自签名的,即由同一机构签发和验证。 因此,根证书被安全地存储在硬件安全模块(HSM)中,通常是离线存储,以确保其安全。
  • 中间证书:中间 CA 是根证书和终端实体证书(网站使用)之间的中间层。 它从根证书获得授权,并负责签署其他证书。
  • 终端实体证书(服务器证书):网站用来向访问者证明其身份的证书,让浏览器相信网站是合法的,浏览器和网站之间的通信是安全的。 终端实体证书是从 CA 获取并安装在服务器上的证书,但如果没有根证书,它也不会存在。
  • 信任链:访问网站时,浏览器会验证证书链–从网站服务器证书开始,经过中间证书,最后到达根证书。
  • 数字证书和加密:验证链后,加密通信就可以开始了。 利用公钥基础设施(PKI),服务器证书使用公钥对数据进行加密,只有相应的私钥才能解密。

从根证书到网站证书的链条使这一切成为可能,确保您的数据被安全地传输和接收。 如果没有这种结构,黑客可以轻易截获您的信息,网站也无法证明自己的合法性。


SSL 根证书的重要性

在了解了其中的原理之后,让我们来探讨一下根证书对于 SSL/TLS 和网络安全的重要性。

  • 与用户建立信任:SSL 证书在建立用户信任方面发挥着重要作用。 当用户看到挂锁或HTTPS 前缀时,他们就知道网站是安全的。 这种信任建立在根证书上。 如果没有根证书,浏览器就会标记此类网站并警告访问者,阻止他们访问网页。
  • 数据完整性:根证书维护数据完整性。 当数据在浏览器和网站之间传输时,SSL 证书会对数据进行加密,防止第三方访问或篡改数据。 根证书保证加密从可信源开始,验证整个证书链。
  • 在线交易安全:无论您是在办理银行业务、购物,还是只是登录电子邮件帐户,您的信息安全都取决于根证书。 如果根证书受损或过期,就会造成灾难性后果。 你不会希望在登录银行账户时收到警告,说该网站不安全,因为其根证书不再受信任。
  • 网站安全:网站安全不仅仅是保证用户数据的安全。 它还能确保网站内容未被更改或篡改,这要归功于SSL 证书提供的加密功能,该功能源自根证书

SSL 根证书的类型

根证书主要有两种:

  1. 私人 CA 签发的私人自签证书
  2. 公共证书颁发机构颁发的证书

私人自签证书由签发者签署,通常用于内部网络或测试。 由于这些证书并非来自公认的证书颁发机构,主要浏览器默认情况下不会信任它们,因此必须手动安装。

另一方面,公共自签名根证书由公认和可信的证书颁发机构(CA)签署。 商业 CA(如Sectigo )和开源 CA(如 Let’s Encrypt)会颁发浏览器和操作系统默认信任的证书。 这些 CA 遵循广泛的验证流程,确保只有经过验证的实体才能获得证书。

主要区别在于根存储(操作系统中受信任的证书存储)如何识别它们。 私人自签证书需要额外的安装步骤,因为浏览器不会自动信任它们。 相比之下,公共 CA 签发的证书已经包含在大多数浏览器的根存储中。


证书颁发机构如何管理根证书

证书颁发机构对根证书的处理非常精确,因为这些证书是整个证书链的信任基础。 以下是 CA 专门管理根证书的方法:

  1. 签发根证书:根证书不是随便签发的。 由于根证书位于层次结构的顶端,因此在生成前要经过广泛的审核过程。 根证书一旦创建,就会成为签署其他证书(包括中间证书和服务器证书)的权威机构。
  2. 安全和存储:根证书极为敏感,通常离线存储在硬件安全模块中这种离线存储使它们与在线威胁隔离。 这些证书只有在必要时(如进行签名操作时)才会联机,即使在这种情况下,也会遵循严格的安全协议,以最大限度地降低风险。
  3. 签名:CA 使用根私钥签署其他证书,如中间证书。 这一签名过程受到严格控制,对根密钥的访问受到限制。
  4. 生命周期管理:根证书的有效期很长,往往长达数十年,但 CA 仍会对其进行积极管理。 它们会跟踪到期日期,并提前很长时间安排更新,以防止服务中断。 CA 还密切监控任何潜在的漏洞,并在根证书受到损害时将其撤销,不过由于根证书的安全级别很高,这种情况很少发生。

撤销:万一发生泄密事件,CA 可以撤销根证书。 不过,由于撤销根证书会影响其下的所有证书,因此这一步骤被视为最后手段。 当根证书被吊销时,CA 必须在证书吊销列表(CRL)中或通过在线证书状态协议(OCSP)公布,以便系统可以立即停止信任该证书。


根证书的潜在风险和问题

尽管根证书提供了安全保障,但也难免存在风险。 根证书受损或过期会引起广泛的问题,导致不信任和潜在的在线安全漏洞

  • 被破解的根证书:如果根证书被破解,攻击者就会签发看似有效的伪造证书,诱骗用户访问恶意网站。 一个显著的例子发生在 2011 年,荷兰 CA DigiNotar 遭黑客攻击,向数千名用户签发了未经授权的证书。 该 CA 无法从这一事件中恢复,并停止了存在。
  • 过期的根证书:当根证书的有效期到期且未更新时,依赖该证书的网站会在浏览器中显示警告,导致用户对网站的安全性产生怀疑。 这会导致企业失去信任和收入。
  • 证书吊销和路径验证:如果 CA 吊销证书,浏览器必须能够快速检查吊销状态,以避免信任无效证书。 检查证书的有效性称为路径验证,包括将证书追溯到受信任的根目录,并确保沿途不存在任何问题。
  • 信任存储管理:操作系统和浏览器会维护一个包含受信任根证书列表的信任存储。 如果根证书从信任存储中删除,那么在该证书下签发的任何证书都将不再被视为有效。 不断更新信任存储可保持安全连接。

底线

根证书由受信任的根认证机构签发,默默地确保着我们所依赖每张数字证书背后的信任。 它们确保数字交互的安全,验证加密通信,并提供网站和应用程序的完整性。

根证书维护着信任链。 没有根证书,我们对网站、应用程序甚至电子邮件系统的信任就会崩溃,从而大大降低在线交易的安全性。

下次使用浏览器时,请记住您的连接背后的安全性依赖于 CA 证书。 虽然 Chrome 浏览器等浏览器不再显示挂锁图标,但基本的信任系统仍然存在,可在后台确保数据和交易的完整性。

立即订购 SSL 证书, 可节省 10% 的费用!

快速发行, 强大加密, 99.99% 的浏览器信任度, 专业支持和 25 天退款保证. 优惠券代码 SAVE10

撰写人

经验丰富的内容撰稿人, 擅长 SSL 证书. 将复杂的网络安全主题转化为清晰, 引人入胜的内容. 通过有影响力的叙述, 为提高数字安全作出贡献.