用法律术语来说, 监管链 是一种确保安全性、合法性并简单地了解敏感信息在哪里以及与谁接触(以及谁有权访问该信息)的方法。 在世界上的 数字证书,以 信任链 功能有些相似,但具有相同的目的:形成从信任锚到最终实体证书的验证和验证的链接路径。
通过这个介绍,让我们仔细看看信任链:
In SSL /TLS, S/MIME, 代码签名,以及其他应用 X.509证书,证书层次结构用于验证证书颁发者的有效性。 此层次结构称为 信任链。 在信任链中,证书由层次结构中较高级别的证书颁发和签名。
A 信任链 包括几个部分:
1。 “ 信任锚,这是原始证书颁发机构(CA)。
2. 至少一个 中级证书,用作CA和最终实体证书之间的“绝缘”。
3. 最终实体证书,用于验证诸如网站,公司或个人之类的实体的身份。
通过查看以下内容,很容易看到自己的信任链 HTTPS 网站的证书。 当你 查 SSL /TLS 通过Web浏览器中的证书,您将找到该数字证书的信任链的细目,包括信任锚,任何中间证书和最终实体证书。 这些不同的验证点由上一层或“链接”的有效性备份,返回到信任锚。
下面的示例显示了SSL.com网站的信任链,该信任链通过一个中间证书从终端实体网站证书回到根CA。
根 认证中心(CA) 作为 信任锚 在信任链中。 此信任锚的有效性对于整个链的完整性至关重要。 如果CA是 公众信任 (例如SSL.com),主要软件公司会将根CA证书包含在其浏览器和操作系统软件中。 这种包含确保了信任链中的证书可以返回到CA的任何根证书,并且该软件将被信任。
在下面,您可以从SSL.com网站(SSL.com EV Root Certification Authority RSA R2
):
根CA或信任锚可以签名和签发 中级证书。 中间证书(也称为 中间, 下属或 颁发CA)提供了一种灵活的结构,可将信任锚的有效性授予链中其他中间和最终实体证书。 从这个意义上说,中间证书起着管理功能; 每个中间体都可以用于特定目的-例如颁发SSL /TLS 或代码签名证书-甚至可以用来 授予 根CA对其他组织的信任。
中间证书还提供了最终实体证书和根CA之间的缓冲区,以保护私有根密钥不受损害。 对于公共信任的CA(包括SSL.com),CA / Browser论坛的 基准要求 实际上禁止直接从根CA颁发最终实体证书,该证书必须安全地保持脱机状态。 这意味着任何公共信任证书的信任链将至少包含一个中间证书。
在下面显示的示例中, SSL.com EV SSL Intermediate CA RSA R3
是SSL.com网站的信任链中唯一的中间证书。 顾名思义,该证书仅用于颁发EV SSL /TLS 证书:
特 最终实体证书 是信任链中的最后一个环节。 最终实体证书(有时称为 树叶证书 or 订户证书),用于通过链中的任何中间环节将根CA的信任关系授予网站,公司, 政府或个人。
最终实体证书与信任锚或中间证书的不同之处在于,它不能颁发其他证书。 从某种意义上说,它是链条上的最终链接。 下面的示例显示了最终实体SSL /TLS SSL.com网站上的证书:
信任链可确保CA的安全性,可伸缩性和标准合规性。 它还为那些依赖最终实体证书的人(例如网站运营商和用户)确保隐私,信任和安全性。
对于网站所有者和最终实体证书的其他用户而言,重要的是要了解,完整的信任链对于其证书成功地授予CA信任是必要的。 有关诊断和故障排除由不完整的信任链导致的浏览器错误的信息,请参阅 我们有关安装中间证书的文章 和 浏览器错误消息指南.