歡迎來到東用知識小課堂!
CA證書,也是根證書,是最頂級的證書,也是CA認證中心與用戶建立信任關係的基礎,用戶的數字證書必須有一個受信任的根證書,用戶的數字證書才是有效的。
1.CA認證中心
所謂CA認證中心,它是採用PKI(Public Key Infrastructure)公開密鑰基礎架構技術,專門提供網絡身份認證服務,CA可以是民間團體,也可以是政府機構。負責簽發和管理數字證書,且具有權威性和公正性的第三方信任機構,它的作用就像我們現實生活中頒發證件的公司,如護照辦理機構。目前國內的CA認證中心主要分為區域性CA認證中心和行業性CA認證中心。
2.證書信任鏈
證書直接是可以有信任關係的,通過一個證書可以證明另一個證書也是真實可信的.實際上,證書之間的信任關係,是可以嵌套的。比如,C信任A1,A1信任A2,A2信任A3…這個叫做證書的信任鏈。只要你信任鏈上的頭一個證書,那後續的證書,都是可以信任的。
處於最頂上的樹根位置的那個證書,就是「根證書」。除了根證書,其它證書都要依靠上一級的證書,來證明自己。那誰來證明「根證書」可靠呢?實際上,根證書是自己證明自己是可靠的(或者換句話說,根證書是不需要被證明的)。
你此刻應該意識到了:根證書是整個證書體系安全的根本。所以,如果某個證書體系中,根證書出了問題(不再可信了),那麼所有被根證書所信任的其它證書,也就不再可信了。
接下來我們就以東用科技的上雲助手軟體為例,來給大家詳細講解一下
3.證書的用處
1).驗證網站是否可信(針對HTTPS)
通常,我們如果訪問某些敏感的網頁(比如用戶登錄的頁面),其協議都會使用HTTPS而不是HTTP。因為HTTP協議是明文的,一旦有壞人在偷窺你的網絡通訊,你的密碼、銀行帳號等網絡通訊內容就會泄露出去;但是HTTPS是加密的協議,可以保證你的信息在傳輸過程中的安全。所以,HTTPS協議除了有加密的機制,還有一套證書機制。通過證書來確保某個站點的真實實體信息。
有了證書之後,當你的瀏覽器在訪問某個HTTPS網站時,會驗證該站點上的CA證書。如果瀏覽器發現該證書沒有問題,那麼頁面就直接打開;否則的話,瀏覽器會給出一個警告,告訴你該網站的證書存在問題,是否繼續訪問該站點?
大多數知名的網站都會使用HTTPS協議,其證書都是可信的。如果你上某網站,發現瀏覽器跳出警告,一定要小心,這個網站可能是釣魚網站。
2).驗證某文件是否可信(是否被篡改)
你所簽署的文件是否被篡改,具體是通過證書來製作文件的數字簽名。我們來舉個軟體按照的例子,具體說下如何驗證文件的數字簽名。
比如,一個帶有數字簽名的安裝文件,上面有個「數字簽名」的標籤頁。如果沒有出現這個標籤頁,就說明該文件沒有附帶數字簽名。
然而,某些數字簽名中沒有包含「郵件地址」,那麼這一項會顯示「不可用」;同樣的,某些數字簽名沒有包含「時間戳」,也會顯示「不可用」。這些地方顯示的「不可用」跟數字簽名的有效性沒關係。
一般來說,簽名列表中,有且僅有一個簽名。選中它,點「詳細信息」按鈕,會顯示一行字:「該數字簽名正常」。如果有這行字,就說明該文件從出廠到你手裡,中途沒有被篡改過。
如果該文件被篡改過了(比如感染了病毒、被注入木馬),那麼對話框會出現一個警告提示「該數字簽名無效」。
不論簽名是否正常,你都可以點「查看證書」按鈕。這時候,會跳出證書的對話框。
目前大多數知名的公司或組織機構發布的可執行文件(比如軟體安裝包、驅動程序、安全補丁),都帶有數字簽名。建議大家在安裝軟體之前,都先看看是否有數字簽名,如果有,就按照上述步驟驗證;如果數字簽名無效,建議你還是別裝了,會有安全隱患。
好了!今天的東用知識小課堂到這裡就結束了,大家如果還有疑問的話,可以在下方留言或者私信給我們,我們下期再見!