在过去的二十年中,证书颁发机构(CA)一直是在线安全的基础,而数字证书仍然是确保交易和身份安全的可靠方法。 从根本上说,CA签名的证书是有价值的工具,可在线验证身份。 允许通过不安全的网络进行安全的加密通信; 并通过确认签名文件的完整性没有被第三方更改,从而确保其完整性。
但是,CA的价值已超出其直接的实际实用性。 对于用户而言,一个非常简单的验证过程将获得工作和信任链的基础,而不仅仅是简单的事实检查。
CA会做什么?
浏览器和操作系统供应商信任公共CA(例如SSL.com)来验证:
- 域名控制
- 组织及其代理商的合法性
- 联系信息,例如电子邮件地址
CA颁发多种类型的证书,所有证书均基于 X.509 标准。 由CA颁发的证书可确保网站交易的安全,防止恶意软件并验证文档和电子邮件交换的身份。通过CA保证的各种过程,过程和协议来完成Internet上身份的建立。 例如:
- SSL /TLS 提供了一种可信任的加密方式,可通过浏览器访问万维网-保护个人信息和交易。
- 数字签名 提供经过身份验证的数字文档。
- 代码签名 允许在Internet上安全分发软件。
- S/MIME 启用经过身份验证和加密的电子邮件。
- 客户端认证 证书可保护对计算机和应用程序的访问。
所有这些都是通过锚定到公共CA根证书的证书来完成的,并通过“信任链“
为什么要成为一个公众信任的CA如此困难?
如上所述,操作系统和其他软件都信任CA,以验证网站,公司和个人的身份。 一旦建立了公共CA并赢得了软件供应商和其他参与者的信任,其数字证书便是一种即时,安全和可靠的方式,可确保信息不被欺诈。 制作自签名根CA的过程相对简单-坦白地说,任何拥有广泛使用,低成本或免费软件的人都可以创建它们。 但是,实际上并没有很多公共证书颁发机构。 实际上,目前只有 52位CA成员 CA /浏览器论坛,以及绝大多数SSL /TLS 证书的数量要少得多。 那么为什么不是每个人都在制作它们呢?
公开证书颁发机构之所以成为如此的排他性俱乐部,是因为要成为公共证书颁发机构并赢得并保持普遍信任以保持其正常运转是一项艰巨的工作。 包含在所有浏览器和操作系统中对用户而言是无缝的,但是它需要在后台花很多年的精力。 当您购买新计算机或安装软件(例如Web浏览器或电子邮件客户端)时,已经包含了受信任的根CA证书列表。 但是,将其添加到该列表中并非一朝一夕就能完成,而要保持在列表中也是一个挑战。
为了保持销售证书的资格,CA必须满足软件供应商的要求,这些供应商都在努力确保为其用户提供安全可靠的体验。 每个主要的浏览器和操作系统供应商都有自己的一套标准,CA必须满足这些标准,并在进行更改时与时俱进。 这样做的代价是很高的:如果一个CA不包含在任何一个根程序中,无论是由于违反信任还是由于未能及时更新策略,都会给CA带来灾难。整个业务。 没有公司在寻找与Safari兼容但不适用于Chrome的网站SSL证书。 很少有软件生产商想要Windows不信任的代码签名证书。
除了与浏览器,操作系统和其他软件提供商保持这种微妙的平衡之外,证书颁发机构还受到严格的外部审核。 在这个网站的底部看到这些徽章了吗? 每个印章都代表一个审核,并且每个审核都每年进行一次。 如果任何CA无法通过审核(或不满足根程序要求),则可以从关键根存储中排除CA的证书,这将使它们无效。
的CA成员 CA /浏览器论坛 (由CA和 PKI诸如浏览器和操作系统之类的支持软件)在开发和执行数十种行业标准以及设置CA / B论坛方面处于活跃状态 基准要求。 成员参加教育和研究组织,并与利益相关者合作以增强互联网安全性,通常牵头提出和采用新标准。 对于确保SSL /TLS 系统正在运行并且其信誉良好,这必然意味着他们会积极主动地对自己的系统以及所使用的系统的安全性做出承诺。
除了遵守这些标准之外,还要求证书颁发机构维护并提供证书透明性列表(所有已颁发证书的公共记录)以及证书吊销列表(CRL)和OCSP响应者,以跟踪吊销的证书。 确保已考虑所有证书,并且永不破坏支持证书的信任,这一点至关重要。
如何选择CA
因此,了解了维护和运行公共证书颁发机构的所有工作后,如何确定哪种CA最适合其需求?
尽管现在有低成本(甚至免费)的CA选项,但重要的是要知道为降低成本而进行的交易。 一般而言,免费CA所提供的验证级别与商业CA不一样,并且除了网站SSL /TLS 证书。 例如,他们可以显示网站的SSL /TLS 证书控制着该域(域验证),但它们没有采取额外的步骤来确认该所有者是谁。 根据您的预期用例,DV可能会很好(所有商业CA,包括SSL.com也都提供),但是如果您需要代码签名证书,Adobe PDF的数字签名或包含在您的企业中的经过验证的信息,网站证书,则需要转到商业CA。
有关选择可靠的CA的更多信息,请查看我们的 最佳做法指南.
