四种类型的CA:根CA 、中间CA 、下属CA、不受信任的CA

四种类型的CA:根CA 、中间CA 、下属CA、不受信任的CA

为什么您想知道哪个CA颁发了证书?

什么是CA?
让我们回过头来谈谈CA是什么,并描述用于确保SSL证书安全的系统。
CA或证书颁发机构是一些颁发、签署和存储证书的实体,例如SSL/TLS证书。这些实体是少数满足成为证书颁发机构的技术要求的提供商的一部分。世界上只有大约65个证书颁发机构(尽管有一些错误的报告称有超过600个这样的实体)。

信任链
基本上有四种类型的CA:
1、根CA
2、中间CA
3、下属CA
4、不受信任的CA

这些CA类型中的前三种实际上对应于SSL证书安全所依赖的“信任链”中的不同点。
浏览器识别的65个左右的根证书颁发机构。为了实现该系统的灵活性和可扩展性,可以向这些根CA信任的组织颁发中间证书,使他们能够创建依赖于根CA的证书。这些受根CA信任的组织是中间CA。根CA对中间CA的证书进行加密“签名”,以证明它正在将其权限借给该实体,然后该实体可以使用此证书为其他人颁发证书。
从属证书本质上是中间证书的广义术语,这意味着从属CA与中间CA没有本质区别,只是中间CA通常是指向其他第三方颁发证书的从属CA。
这些从属和中间CA然后颁发实际使用的SSL/TLS证书,例如,使用HTTPS的网站。然后,网站使用的最终SSL/TLS证书将由根CA签名的证书进行签名。这就是“信任链”。
只要“信任链”可以从证书追溯到根CA,浏览器就会认为它是可靠的,在地址栏中显示锁定,并且不会向用户显示警告。因此,对于大多数用户而言,由于信任链,根CA签名的证书和中间CA签名的证书在功能上没有区别。

成为CA的要求
CA在全球范围内被认证为值得信赖的方式不一定只有一种。通常,如果CA受信任
在北美,几乎所有根CA都遵循“WebTrust”标准,而欧洲的CA由欧洲电信标准协会(ETSI)审核,政府CA通常由相关政府验证。
无论哪种方式,这些审计程序都确保根CA遵循一些标准的安全实践,以保护他们颁发的SSL/TLS证书的安全性。
但是,CA是否“受信任”取决于浏览器。不存在告诉浏览器如何选择CA以包含在其受信任的CA列表中的通用技术标准。换句话说,每个浏览器都为批准CA设置了自己的策略。

谁是主要的CA?
根据Digicert的数据,这些是排名前8位的SSL证书CA,占所有证书的近75%:
    Comodo — 42.6%
    Digicert — 15.3%
    GlobalSign — 4.9%
    Digicert — 2.3%
    Entrust — 0.4%
    Certum — 0.5%

你怎么知道是哪个CA颁发了证书?

图片.png

可以看到上面的图片,选择地址栏的图标(大部分浏览器相同)选择查看证书,证书路径就可以看到最终的颁发机构,图片中的是是:DigiCert
证书的CA信息存储在证书的什么位置?
证书的结构
首先,颁发特定证书的CA会在证书文件本身中指明。此文件是一个.crt文件,存储在网站的Web服务器上。
这些文件使用X.509标准,该标准要求其中包含的数据采用特定格式。


HTTP、HTTPS、SSL、TLS、CA证书、CSR(列表、list、全)HTTPLIST、HTTPSLIST、SSLLIST、TLSLIST、CALIST、CSRLIST、pkilist
http://www.zh-cjh.com/wenzhangguilei/2199.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 四种类型的CA:根CA 、中间CA 、下属CA、不受信任的CA

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!