申请SSL证书为什么要认准国际CA机构?
最近更新时间:2020-08-25 12:15:51
HTTPS 协议的安全依赖于它的证书机制,如果攻击者申请到了一张和你的网站一摸一样的证书,那你网站的安全机制也就不复存在了。
如果想部署 HTTPS 网站,首先向 CA 机构申请一张证书, CA 机构在审核申请者的身份后,会签发一张证书,证书中包含了申请者网站的主机名、主机公钥,同时 CA 机构会用自己的私钥对整个证书进行签名,并将签名添加到证书文件中,然后发送给证书申请者。证书是 TLS 协议中非常关键的一环,其主要作用:
向网站访问者确认服务器的真实身份,确保客户端(浏览器)是和真正的网站提供者在通信,避免遇到中间人攻击,实现密码学中的身份认证特性。
客户端和服务器使用证书中的公钥(依赖于不同的密码协商算法,功能有所不同)协商出主密钥(Master Secret),有了主密钥,客户端和服务器端就可以保证通信数据是加密且没有被篡改。
因为,如果你的证书服务器被黑客攻击了,拿到了服务器权限,那就可以生成无限的证书,甚至可以在证书中植入木马。
所以要让浏览器信任你的证书,你得有能力,有资格证明自己的证书服务器安全级别达到最高,即99.99%不被黑客入侵。
我也相信,在未来不远,我们国家也会有自己的根证书,并全球授信。我们国家有相关规定,比如《网络安全法》中三级等保网站必须启用HTTPS访问。