证书颁发机构
本文约需 2 分钟阅读
认证机构 (CA: Certificate Authority) 是指发行和管理数字证书的受信任第三方机构。它为网站发行 SSL/TLS 证书,保证该网站由正当的运营者运营。浏览器地址栏中显示的锁形图标,表示通信的安全性由认证机构发行的证书所保障。截至 2024 年,Let's Encrypt 在全球管理着 3 亿以上的活跃证书,HTTPS 的普及率超过了 95%。
现场使用案例
“收到了生产环境的 SSL 证书将于下周到期的警报。由于 Let's Encrypt 的自动更新一直失败,我们修正了 certbot 的配置并手动更新了证书。今后将添加在更新失败时把通知发送到 Slack 的设置。”
证书发行流程
历史背景
认证机构的机制是在 1990 年代中期 Netscape 开发 SSL 时确立的。最初由 VeriSign 等少数商用认证机构垄断市场,获取证书每年需要花费数万日元。2015 年非营利组织 ISRG 推出 Let's Encrypt 后,免费的 DV 证书得以普及,HTTPS 的引入率从 2015 年的约 40% 急速上升至 2024 年的 95% 以上。在 2011 年的 DigiNotar 事件中,认证机构被黑客入侵并发行了伪造证书,凸显了认证机构信任模型本身的脆弱性。
认证机构的作用
认证机构核实申请者的身份,并发行将公钥与所有者信息相结合的数字证书。证书分为 DV (域名验证)、OV (组织验证)、EV (扩展验证) 三个等级,EV 证书需经过最严格的审查后发行。PKI 与数字证书书籍 (Amazon)可详细学习。
与钓鱼防范的关联
一个常见的误解是“只要显示了锁形图标,网站就是安全的”。实际上,即使是钓鱼网站也能轻易获取 DV 证书,因此仅凭锁形图标无法判断安全性。登录时请养成仔细确认 URL 域名的习惯。在输入密码之前,确认所访问的是正规网站非常重要。钓鱼防范入门书 (Amazon)也很有参考价值。
这篇文章对您有帮助吗?