SSL证书,就像我们的身份证,每个成年人都必须拥有自己的身份证,并且每张都是的,可以用来证明他的真实身份。而身份证也是由公安局颁发的,这里我们可以将第三方的可信机构CA看做公安局,要取得身份证,需要到公安局输入各种信息,确认无误后才能领取。
该程序就像是企业为网站申请SSL证书,企业申请SSL证书,同样需要向 CA机构提交资料,验证域名的所有权,证明企业的真实身份,审核通过后,企业才能获得SSL证书。
如果我们去银行办理业务,需要出示身份证,而银行为了防止使用伪造身份证,可以通过公安局提供的系统查询身份证信息,核实身份证信息。这个过程,就是当我们浏览一个网站时,浏览器检查该网站SSL证书的过程。
这个问题很有意思,SSL证书的真伪可由CA机构进行鉴定,而CA机构的真伪又是由谁来鉴定呢?正如身份证的真伪可以由公安局鉴定,那么公安局的身份由谁来鉴定呢?
银行怎么会相信公安局的自签名证书呢?
大家都知道,可信SSL证书不能由任何个人或机构颁发,必须由可信CA机构颁发,而作为可信CA机构,必须通过 WebTrust 的国外认证。
让我们回到刚才的问题,谁能证明公安局(CA机构)是合法的?
公安局的身份不能证明,公安局的身份是基于信任,也就是说,机构的身份不需要谁来证明,也是基于信任。我们需要知道根证书,根证书是CA机构给我们颁发的,浏览器安装根证书意味着信任CA机构,同时也是信任它所颁发的证书。也就是说,公安局从一开始就已经在银行备案,没有必要为任何人提供身份证明。
当站点安装了SSL证书时,浏览器会读取SSL证书上CA机构的签名,然后在证书库中搜索CA机构的自签名证书,尝试用公开密钥解密签名,如果解码,则会证明SSL证书确实由可信CA机构颁发,并且SSL证书的信息是真实有效的。
坚信通过本文的讲解,您可以轻松理解目前对因特网数字证书的认证原理。如有任何疑问,请与环度网信员工联系,咨询链接:https://www.ihuandu.com/
