SSL证书链包含多个证书,有助于建立与浏览器和客户端的信任。
以下是有关这些链证书以及“信任链”如何工作的知识。
作为网站所有者,您知道SSL / TLS证书是成功开展在线业务的必备条件。除了增加信任度和保护数据安全外,它还有助于提高您的网站在Google眼中的排名。但是SSL证书不会在冒泡中运行;它是称为SSL证书链的一部分。该链是大型公钥基础结构不可或缺的一部分,该基础结构使得通过不安全的Internet进行安全的在线通信成为可能。
但是证书链到底是什么?为什么建立信任如此重要?我们将分解链的不同组成部分,它们的规则是什么,以及它们如何作为较大的公共密钥基础结构的一部分一起工作。
什么是SSL证书链?
那么,SSL和TLS的证书链是什么?证书链包括根证书,一个或多个中间证书以及服务器(叶)证书。如果您不知道其中一些是什么,就不用担心。这就是我们在这里的目的-以有意义的方式帮助分解这些术语。
如果您来到这里,您可能已经很熟悉服务器证书,因为这是您为网站购买的证书。这是使挂锁图标显示在您的域之前的网址栏中,也是使“ HTTPS”显示在您的URL中的原因。
如果单击安全站点的挂锁,则会看到SSL证书的详细信息。下面的屏幕截图将使您对所看到的内容有所了解。例如,在SectigoStore.com上,您将看到颁发证书的组织的名称。在这种情况下,它是Rapid Web Services LLC,[美国]。
这就是我们谈论SSL / TLS证书时通常所说的。链中的其他两种证书对建立那些服务器证书的信任有帮助。
SSL证书由信誉良好且受信任的第三方颁发,称为证书颁发机构,证书颁发机构或CA(简称)。但是,CA不会直接将证书颁发给网站。有了信任链或证书链,可以使过程更快,更轻松。
信任链就像一棵树……
要了解这些证书如何协同工作,请想像一棵树。一棵树有根,树干和其相应的树枝以及叶子。证书链在结构上与树没有什么不同。
与树一样,根证书是所有其他证书所基于的基础。就像一棵树有许多分支一样,CA可能会从一个根证书中颁发一个以上的中间证书。同样的类推适用于代表服务器证书的叶子。
如果我们继续探索该站点的SSL证书,将会学到很多东西。因此,单击“证书”选项,您将看到一个窗口弹出,如下图所示:
此图像向您显示证书的信息-例如证书的目的,颁发证书的人(证书颁发机构),颁发证书的站点及其有效日期。
进一步将带您进入证书的详细信息,这将帮助您了解该证书使用的协议和算法。它显示了用于加密公共密钥的算法,还提供了站点的公共密钥。
现在,我们进入下一部分,即证书路径。在本文的上下文中,这是证书信息文章中最重要的部分。当您单击“证书路径”时,您将看到根证书,中间证书和服务器证书。
在上图中,我们可以看到:
- 根证书是“ Sectigo(以前是Comodo CA)。”这是对中间CA证书进行签名的自签名证书。
- 中间证书是“ COMODO RSA扩展验证安全服务器CA”。”该证书充当根证书和服务器证书之间的中间中介(即中间人)。因此,中间证书使用其自己的私钥对服务器证书签名,以保护根证书的私钥。
- 服务器证书为“ www.sectigostore.com ”。这是您安装在网站服务器上的证书的类型,通常称为SSL / TLS证书。
由于叶子证书是从中间分支而来的,而中间分支是从根分支的,所以假设您先前所描绘的树是颠倒的。在上面的屏幕截图中,基本上,树的根在顶部,叶子在底部。
了解SSL证书链的各个部分
下图说明了SSL证书链和有关签名授权机构的详细信息:
在本节中,我们不仅将分解根证书和中间证书之间的差异,而且还将划分服务器证书。
根证书
根证书(也称为受信任的根)是由证书颁发机构直接颁发的证书。与其他证书不同,根证书由CA自签名。根证书的私钥是用于对SSL证书层次结构中的其他证书进行签名的密钥。
CA仅颁发少数根证书,这就是为什么它们受到严格保护的原因。实际上,这些根证书通常预装在浏览器和操作系统的“信任存储”中。根证书在证书链中被认为是最重要的,因为各方都同意信任颁发根证书的CA。如果颁发根证书的CA被不信任或吊销(即,不再被认为是可信任的),则整个链将崩溃。
为了保护这些证书,尤其是在涉及证书吊销的情况下,根CA通常使用中间CA在其受信任的根证书和最终服务器证书之间放置一些空间。他们从不直接从其根证书发布网站的叶(服务器)证书,因为这样做风险太大。
中级证书
中间证书充当根证书和最终实体的服务器证书之间的缓冲区。它由颁发它的根证书的私钥签名。这就是建立中间证书的信任的方式。中间证书颁发者是签署SSL / TLS(服务器)证书的颁发者,而主题是证明其身份的站点或组织。
可以有一个以上的中间证书,但是没有至少一个中间证书就不能拥有证书链。
服务器证书
CA将服务器证书(也称为叶证书)颁发给用户要覆盖的域。人们在谈论SSL / TLS证书时就是在谈论这些。在服务器上正确安装此证书后,URL开头将显示“ HTTPS”而不是“ HTTP”。HTTPS表示您的站点使用的是安全的加密协议,而不是不安全的协议。此外,网址栏中的您的域名之前会出现一个挂锁。
证书链如何工作?
SSL / TLS中的证书链也称为信任链。其背后的原因是,当任何浏览器收到您网站的SSL证书时,它都需要验证其合法性。
为此,它将以服务器证书开始,然后将其返回到根证书以建立信任。它使用证书的公共密钥来匹配签名,然后再以相同方式检查中间证书的公共密钥和签名。它将一直这样做,直到最终到达浏览器保存在其信任库中的根证书为止。
如果无法验证此链中的任何证书,则该链将被破坏并且验证将失败。浏览器将向用户发出有关证书的警告。您知道那些丑陋的“不安全”和“您的连接不是私人”消息吗?
是的,那样。因此,为了使信任链起作用,必须确保该链中的任何链接都不会中断。
你还在听我说吗?然后,我可以更进一步,向您解释证书链的工作方式。之后,我们可以讨论幕后工作的技术和流程-公钥基础结构(或也称为PKI)。
信任链验证流程如何工作
如果遵循常规层次结构,则根CA将对中间CA进行身份验证,该中间CA又将对服务器证书进行签名。因此,考虑到这一点,人们如何使用信任链进行验证?
当用户访问您的网站时,服务器将向其发送证书。它将检查各种信息,例如:
- 颁发证书的实体和颁发对象。
- 该证书的发行时间以及有效期为多长时间。
- 如果具有有效的数字签名。
- 证书是否已被吊销。
要验证证书是合法的,它需要验证信任链。在这里,浏览器将从服务器证书启动,并验证所有证书,包括根证书。最常见的证书链验证过程相反。这意味着首先要对照发布证书的中间证书检查服务器证书的信息,然后再针对发布证书的根证书检查中间证书。
如果所有证书都已签出,并且完成了安全连接所需的其他过程,则网站将在URL栏中加载挂锁符号或“ HTTPS”。否则,将发出警告。
什么是PKI?
由于PKI是一个如此复杂和详细的主题,因此我们将在这里为您提供快速概述。公钥基础结构是一个笼统的术语,它描述了使公共通道中的安全加密成为可能的流程,策略和技术的框架。它依赖于公钥密码术,该算法使用复杂的数学算法来促进Internet上消息的加密和解密。
这些算法是PKI框架的组成部分。随着技术的发展,算法随着时间的推移变得越来越复杂。
PKI使用密钥对来加密和解密数据。所涉及的密钥类型取决于您使用的加密类型。例如,对称加密使用单个密钥来加密和解密数据。(这要求发送者和接收者俱有相同密钥的相同副本。)另一方面,在非对称加密中,有两个唯一(但在数学上相关)的密钥:公共密钥和私有密钥。任何人都可以使用的公共密钥对数据进行加密。另一方面,私钥会解密数据,必须对其进行保护以防止数据泄露。
具有两个唯一但在数学上相关的密钥有助于站点访问者的客户端传递安全消息,而不必担心未经授权的访问或数据操纵。(通常称为中间人攻击或MitM。)
结论
SSL / TLS证书通过使用安全的HTTPS协议来确保网站的安全性。信任链对于实现此安全协议至关重要。由于证书链的树状结构,可以快速安全地与服务器建立联系。而且,它可以轻松地将证书追溯到其原始根目录,以了解其是否合法。这对每个人都是双赢的。