权威CA颁发的SSL证书为什么可信？

今天，网络信息安全的形势越来越严峻。在网站、系统或平台上部署SSL证书，实现HTTPS数据的加密传输，已经成为大多数人的共识。但是有时候，即使我们安装了SSL证书，浏览器还是会提示网站不安全，谨慎访问的警告。为什么？今天我们来讨论一下为什么权威CA机构颁发的SSL证书会受到浏览器和访问者的信任。

什么是证书颁发机构？

证书颁发机构(CA)是一个可信的第三方组织，负责证书的生成、颁发和撤销。我们网站部署的SSL证书是由数字证书颁发机构颁发的数字证书，具有身份认证和数据加密两种功能，也叫X.509证书或CA证书。

你为什么信任证书颁发机构？

WebTrust是AICPA(美国注册会计师协会)和CICA(加拿大注册会计师协会)共同制定的安全审计标准，也是电子认证服务行业唯一的国际认证标准。只有WebTrust认证的证书颁发机构才能信任各大浏览器颁发的证书。

我们信任WebTrust，所以我们信任它的证书颁发机构，然后我们信任这个证书颁发机构颁发的所有证书。这种信任链牢不可破。

谁来验证SSL证书是否可信？

我们申请的SSL证书包含三种类型的证书文件:根证书、中间证书和用户证书。根证书是由证书颁发机构本身颁发的证书。为了保护根证书，降低其被攻击的风险，CA通常不直接向用户颁发证书，而是授权中间证书颁发机构，由中间证书颁发机构向用户颁发证书。

用户证书是否有效由中间证书证明，中间证书是否有效由根证书证明，验证根证书是否有效的工作由浏览器完成。浏览器将搜索根证书存储以查看它是否包含目标根证书。如果有，就会被信任；如果不是，它将被标记为不可信。根证书存储是由浏览器信任的根证书组成的数据库。有些浏览器会构建自己独立的根证书库，有些则会调用其他浏览器的根证书库。

SSL证书为什么无效？

如果安装后证书无效，原因可能是安装证书的网站不是证书支持的网站，即安装了错误的证书或网站。另外，安装不被浏览器信任的SSL证书也会导致证书失效。

如果我们的SSL证书在使用过程中突然失效，很可能是证书过期了。我们可以点击浏览器地址栏中的证书来检查证书的有效性。如果确定证书过期，我们可以联系证书提供商用新的证书替换它。

SSL证书突然失效的另一个原因是该证书的根证书由于某种原因被浏览器从根证书库中移除，信任被取消(可能是根证书过期，也可能是根证书因安全问题被撤销)。解决办法是更换另一个品牌的证书。

如何选择可信的SSL证书？

一定要选择国际知名品牌的SSL证书，不仅安全性高，可信度更高，兼容性也更好。大多数浏览器都可以支持。这里强烈推荐DigiCert、GeoTrust、Globalsign等认证机构颁发的SSL证书。

这几篇文章你可能也喜欢：

• 域名证书和IP SSL证书的区别
• EV SSL 证书的费用是多少？ 便宜的 EV SSL 证书建议
• 什么是 SSL 证书？ SSL 证书有什么作用？
• OV SSL证书有什么好处？
• DV通配符证书和OV通配符证书的区别（vi通配符）

本文由主机参考刊发，转载请注明：权威CA颁发的SSL证书为什么可信？ https://zhujicankao.com/83788.html