SSL证书,就好比我们的身份证,每一个成年人都有属于自己的身份证,并且每一个的身份证都是独一无二的,用来证明每个人的真实身份。而身份证又是由公安局颁发的,这里我们可以将第三方权威机构CA看做公安局,我们想要取得身份证,就需要去公安局录入各种信息,经过核查之后才能拿到。
这与企业为网站申请SSL证书的过程是一样的,企业申请SSL证书,同样需要向CA机构提交资料,验证域名所有权,证明企业的真实身份,经过审核后才会向企业颁发SSL证书。
假设我们要去银行办理业务,就需要出示我们的身份证,而银行为了防止使用的身份证是伪造的,就可以通过公安局提供的系统进行查询,对身份证信息进行验证。而这个过程,就是我们在浏览网站时,浏览器对网站SSL证书进行验证的过程。
不过这里有一个非常有意思的问题,身份证(SSL证书)的真伪可以通过公安局(CA机构)来证明,那公安局(CA机构)的身份由谁来证明呢?
银行如何信任公安局的自签名证书?
我们知道,受信任的SSL证书不是随意的个人或机构就能颁发的,必须由受信任的CA机构颁发,而想要成为受信任的CA机构,必须通过WebTrust的国际认证。
那么回到刚才的问题,公安局(CA机构)的身份由谁来证明?
公安局的身份无法证明,公安局的身份基于信任。在这里我们需要了解根证书,根证书是CA机构给自己颁发的证书,浏览器安装根证书意味着对这个CA机构的信任,对该机构颁发的证书也一样。也就是说,从一开始,公安局就是在银行备案过的了,无需向任何人提供身份证明。
当你去银行办理业务时,银行(浏览器)通过读取身份证(SSL证书)中的公安局的签名,然后在证书仓库里搜索公安局(CA机构)的自签名证书,用明文的公钥尝试解密签名,倘若顺利解码,证明这张身份证(SSL证书)确实是公安局(CA机构)颁发的,该身份证上的信息是真实有效的。
相信通过这篇文章的讲解,你可以很容易理解目前互联网的数字证书的认证原理。
转载注明:https://sz.trustauth.cn/
