SSL证书,就像我们的身份证一样,每一个成年人都要有属于自己的身份证,而且每一张都是的,用来证明这个人的真实身份。而且身份证也是由公安局颁发的,这里我们可以把第三方的可信机构CA看做公安局,要取得身份证,需要到公安局输入各种信息,确认无误后才能领取。
这个过程就像企业为网站申请SSL证书一样,企业申请SSL证书,同样需要向CA机构提交资料,验证域名的所有权,证明企业的真实身份,审核通过后才能给企业颁发SSL证书。
假如我们去银行办理业务,需要出示身份证,而银行为防止使用伪造身份证,可以通过公安局提供的系统查询身份证信息,验证身份证信息。这一过程,就是我们在浏览网站的时候,浏览器检查网站SSL证书的过程。
这是一个很有趣的问题, SSL证书的真伪可以CA机构来鉴定, CA机构是由谁来鉴定呢?就好比身份证的真伪可以由公安局来鉴定,那么公安局由谁来鉴定呢?
银行怎么能相信公安局的自签名证书?
众所周知,可信SSL证书不能由任意个人或机构颁发,必须由可信CA机构颁发,而要想成为可信CA机构,则必须通过 WebTrust 的国外认证。
再回到刚才的问题,谁可以证明公安局(CA机构)的身份?
公安局的身份不能证明,公安局的身份是基于信任,也就是说CA机构的身份不需要谁来证明,它的身份是基于一种信任。我们需要知道根证书,它是CA机构颁发给自己的证书,浏览器安装根证书意味着信任该CA机构,同样也信任它颁发的证书。这就是说,公安局从一开始就已经在银行备案,不需要向任何人提供身份证明。
网站安装了SSL证书后,浏览器通过读取SSL证书上的CA机构的签名,然后在证书库里所搜CA机构的自签名证书,尝试用公开密钥解密签名,如果解码,则证明SSL证书确实由可信任的CA机构颁发,并且SSL证书的信息真实有效。
相信通过本文的讲解,您就能很容易地了解当前互联网数字证书的认证原理。如果您还有其他疑问,请联系环度网信工作人员,咨询链接:https://www.ihuandu.com/。