什么是信任链?

信任链是从充当信任锚的根CA到最终实体证书(通过任何中间证书)的链接验证路径。

相关内容

想继续学习吗?

订阅 SSL.com 的新闻通讯,随时了解最新信息并获得安全保障。

用法律术语来说, 监管链 是一种确保安全性、合法性并简单地了解敏感信息在哪里以及与谁接触(以及谁有权访问该信息)的方法。 在世界上的 数字证书,以 信任链 功能有些相似,但具有相同的目的:形成从信任锚到最终实体证书的验证和验证的链接路径。

通过这个介绍,让我们仔细看看信任链:

 

什么是信任链?

In SSL /TLS, S/MIME, 代码签名,以及其他应用 X.509证书,证书层次结构用于验证证书颁发者的有效性。 此层次结构称为 信任链。 在信任链中,证书由层次结构中较高级别的证书颁发和签名。

A 信任链 包括几个部分:
1。 “ 信任锚,这是原始证书颁发机构(CA)。
2. 至少一个 中级证书,用作CA和最终实体证书之间的“绝缘”。
3. 最终实体证书,用于验证诸如网站,公司或个人之类的实体的身份。

通过查看以下内容,很容易看到自己的信任链 HTTPS 网站的证书。 当你 SSL /TLS 通过Web浏览器中的证书,您将找到该数字证书的信任链的细目,包括信任锚,任何中间证书和最终实体证书。 这些不同的验证点由上一层或“链接”的有效性备份,返回到信任锚。

下面的示例显示了SSL.com网站的信任链,该信任链通过一个中间证书从终端实体网站证书回到根CA。

最终实体证书

什么是信任锚?

认证中心(CA) 作为 信任锚 在信任链中。 此信任锚的有效性对于整个链的完整性至关重要。 如果CA是 公众信任 (例如SSL.com),主要软件公司会将根CA证书包含在其浏览器和操作系统软件中。 这种包含确保了信任链中的证书可以返回到CA的任何根证书,并且该软件将被信任。

在下面,您可以从SSL.com网站(SSL.com EV Root Certification Authority RSA R2):

信任锚

什么是中间证书?

根CA或信任锚可以签名和签发 中级证书。 中间证书(也称为 中间, 下属颁发CA)提供了一种灵活的结构,可将信任锚的有效性授予链中其他中间和最终实体证书。 从这个意义上说,中间证书起着管理功能; 每个中间体都可以用于特定目的-例如颁发SSL /TLS 或代码签名证书-甚至可以用来 授予 根CA对其他组织的信任。

中间证书还提供了最终实体证书和根CA之间的缓冲区,以保护私有根密钥不受损害。 对于公共信任的CA(包括SSL.com),CA / Browser论坛的 基准要求 实际上禁止直接从根CA颁发最终实体证书,该证书必须安全地保持脱机状态。 这意味着任何公共信任证书的信任链将至少包含一个中间证书。

在下面显示的示例中, SSL.com EV SSL Intermediate CA RSA R3 是SSL.com网站的信任链中唯一的中间证书。 顾名思义,该证书仅用于颁发EV SSL /TLS 证书:

中级证书

什么是最终实体证书?

最终实体证书 是信任链中的最后一个环节。 最终实体证书(有时称为 树叶证书 or 订户证书),用于通过链中的任何中间环节将根CA的信任关系授予网站,公司, 政府或个人。

最终实体证书与信任锚或中间证书的不同之处在于,它不能颁发其他证书。 从某种意义上说,它是链条上的最终链接。 下面的示例显示了最终实体SSL /TLS SSL.com网站上的证书:

最终实体证书

为什么信任链很重要?

信任链可确保CA的安全性,可伸缩性和标准合规性。 它还为那些依赖最终实体证书的人(例如网站运营商和用户)确保隐私,信任和安全性。

对于网站所有者和最终实体证书的其他用户而言,重要的是要了解,完整的信任链对于其证书成功地授予CA信任是必要的。 有关诊断和故障排除由不完整的信任链导致的浏览器错误的信息,请参阅 我们有关安装中间证书的文章浏览器错误消息指南.

保持信息灵通和安全

SSL.com 是网络安全领域的全球领导者, PKI 和数字证书。注册以接收最新的行业新闻、提示和产品公告 SSL.com.

我们希望收到您的反馈

参加我们的调查,让我们知道您对最近购买的想法。