隨著SSL證書的廣泛應用,申請SSL證書的人也越來越多,但是很多使用SSL證書的用戶其實並不太瞭解SSL證書。他們僅僅是因為要把站點從HTTP轉換到HTTPS而申請使用SSL證書,而最終用戶也只是獲取SSL證書也是證書鏈的一部分而已。
在本文將為大家介紹關於SSL證書的根證書和中間根證書的知識。
什麼是根證書?
根證書是指CA機構頒發SSL證書的核心,是信任鏈的起始點。根證書是瀏覽器是否對SSL證書每個瀏覽器都有一個根證書庫,有的瀏覽器是採用自主的根證書庫,而一些瀏覽器則採取第三方的根證書庫。而根證書庫是下載客戶端瀏覽器時預先加載根證書的合集。因此根證書是十分重要的,因為它可確保瀏覽器自動信任已使用私鑰簽名的SSL證書。
受信任的根證書是屬於證書頒發機構(CA),而CA機構是驗證和頒發SSL證書的組織機構。
什麼是證書鏈?
瀏覽器是如何鑑定信任網站的SSL證書?其實當客戶端訪問服務器時,瀏覽器會查看SSL證書並執行快速驗證SSL證書的真實性。
瀏覽器鑑定SSL證書身份驗證的操作是根據證書鏈的內容。那麼證書鏈是什麼?
用戶在獲取SSL證書之前,首先要生成證書籤名請求(CSR)和私鑰。在最簡單的迭代中,用戶將生成的CSR發生到證書頒發機構,然後使用CA機構的根證書的私鑰簽署用戶的SSL證書,並將SSL證書發回給用戶。
當瀏覽器檢測到SSL證書時,就會查看證書是由其中一個受信任的根證書籤名(使用root的私鑰簽名)。由於瀏覽器信任root,所以瀏覽器也信任根證書籤名的任何證書。
而證書鏈是由兩個環節組成—信任錨(CA 證書)環節和已簽名證書環節。信任錨證書CA 環節可以對中間證書籤名;中間證書的所有者可以用自己的私鑰對另一個證書籤名。這兩者結合就構成了證書鏈。
什麼是中間證書?
證書頒發機構(CA)不會直接從根目錄頒發服務器證書(即SSL證書),因為這種行為是十分危險的,因為一旦發生錯誤頒發或者需要撤銷root,則使用root簽名的每個證書都會被撤銷信任。
因此,為了避免這種風險發生,CA機構一般會引用中間根。CA機構使用其私鑰對中間根進行簽名,使瀏覽器信任中間根。然後CA機構使用中間根證書的私鑰來簽署用戶申請的SSL證書。這種中間根的形式可以重複多次,即使用中間根簽署另一箇中間件,然後CA機構通過中間件簽署SSL證書。
這是證書鏈的可視化過程,從上述例子可看出,CA機構只需要使用一箇中間體來保持簡單的操作,但其實真正的證書鏈通常要複雜的多。
數字簽名有什麼作用?
當根證書以數字方式簽署中間證書時,就會將部分信任轉移到中間證書。因為簽名是直接來源於收信人的根證書的私鑰,因此它會自動受信任。
當瀏覽器或其他客戶端檢測到服務端的SSL證書,就會收到證書本身或與證書相關聯的公鑰。然後通過公鑰,解鎖數字簽名,查看是由哪家企業簽署了證書。即當客戶端瀏覽器訪問網站時,會對服務器用戶的SSL證書進行身份驗證,通過公鑰來解鎖加密的簽名,解鎖的簽名就會隨著簽署的證書,反饋到瀏覽器信任的根證書庫中。
如果解鎖的簽名鏈接是不在瀏覽器信任的根證書庫中,瀏覽器就會對該證書顯示不安全。
根證書CA和中間根CA的區別?
根證書CA是擁有一個或者多個受信任根的證書頒發機構,即CA機構已紮根在主要瀏覽器的信任庫中。而中間跟CA或子CA是頒發中間根的證書頒發機構,他們不一定在瀏覽器的信任庫中有根證書,而是將他們的中間根鏈接回收到受信任的第三方根,這種就被稱為交叉簽名。
所以有一些CA機構頒發的證書並不是直接從他們的根源發出的,而是通過中間根簽署證書來加強安全層,這有助於減少發生錯誤或安全事件的機率。如果撤銷中間根,而不是撤銷根證書以及按擴展名簽署的證書,這種做法會導致中間根簽發的證書不受信任。
其實目前就有一件經典的案例,就是谷歌和其他主流的瀏覽器都取消對賽門鐵克品牌的SSL證書。據悉,賽門鐵克的SSL證書目前已頒發了數百萬,取消對其的信任似乎是一件艱鉅的項目。但在實際中,這是一項非常簡單的工作,因為只需要在瀏覽器的根證書庫中刪除Symantec CA的所有根就可以。
鏈式根和單一根之間的區別?
單一根是由CA擁有的,可直接頒發證書,可以讓部署證書的操作步驟變得更加簡單。而鏈式根是Sub CA用於頒發證書的內容,是一箇中間證書,但是因為中間根CA沒有自己受信任的證書,必須鏈接到第三方受信任的CA。
鏈式根和單一根的區別具體如下:
鏈式根需要比較複雜的安裝方法,因為中間根需要加載到託管證書的每個服務器和應用程序。
鏈式根需要受到鏈接的CA支配,因為他們無法控制root用戶,一旦root CA停業,他們也會收到巨大的牽連。
根證書和中間證書過期的話,中間根必須要在根證書之前,這樣就會增加工作難度。
最後
以上所提到的證書頒發機構、證書鏈和加密簽名的信任根證書,其實本質上都是PKI或者公鑰基礎結構。
文章由數安時代GDCA翻譯於thesslstore
文章轉載https://www.trustauth.cn/wiki/26318.html
閱讀更多 GDCA數安時代 的文章
