证书颁发机构(certificate authority)可以帮助您证明您拥有一个数字实体,如网站或电子邮件地址。这个组织可以发布加密密钥,用于保护信息免受黑客和其他不良行为者的攻击。
有些人使用证书颁发机构进行人工验证。在与一家知名公司建立合作关系后,这些人可以做一些事情,比如注册支票账户或跨境,而无需繁琐的文书工作。
但大多数个人和组织使用认证机构来帮助他们证明数字所有权并保护关键资产。我们将在这里关注这个用例。
什么是证书颁发机构?
顾名思义,证书颁发机构向被授权的人员或组织颁发证书。你可能对这些公司并不了解,如果你从未建立过网站,你也从未直接联系过他们。但是每次您访问受保护的网站时,都需要证书颁发机构来帮助您。
证书颁发机构提供两件事:
- 数字证书:这些小数据文件包含身份凭证。
- 加密密钥:这些数据块可以加密和保护传输中的数据。
让我们来分解一下。
证书颁发机构是证明所有权的受信任组织。该过程完成后(稍后会详细介绍),公司将颁发由其加密密钥签名的正式证书。任何时候你的浏览器想要确保你正在访问一个有人担保的网站,它都可以寻找这个密钥作为证据。如果您的浏览器确定该站点是安全的,则两者交换加密密钥以加密和解密数据。
如果你的网站没有连接到一个证书颁发机构,你的访问者会得到一个对话框,告诉他们这个问题。通常,这些警告会告诉用户,他们想访问的网站不可信。访问者可以无视这些警告并访问该网站。但有些人不愿冒这个险。
认证机构是如何工作的?
与CA公司联系可以让访问者放心,您的网站是安全可靠的。入门相对容易。
一旦您选择了正确的证书合作伙伴,您将遵循以下步骤:
验证:一些公司使用电子邮件验证身份。作为管理联系人列出的地址必须响应通知以启动流程。其他公司则会更深入地挖掘,以确保一个可信的来源真正支持网站。
生成:您将生成一组加密密钥,一个公钥,一个私钥。您还需要填写证书签名申请表。你将把所有这些东西寄给你的公司合伙人。
验证:公司会检查你的文件和钥匙。如果一切正常,公司将使用加密公钥对您的证书进行签名。您将获得颁发私钥和已签名的证书。
存储:您将把您的证书和适当的密钥放在您的网站上。
这里存在漏洞。如果您与一家提供最少验证流程的公司合作,黑客就很容易跳过您的圈套。你的来访者不会像他们以为的那么安全。
任何拥有网站的人都应该对认证感兴趣。毕竟,谷歌希望对所有网站进行加密,公司可以惩罚那些不遵守的网站。如果没有证书,谷歌可能会使您的站点在搜索中贬值。
谁是证书颁发机构?
While certification authorities play a critical role in the modern connected world, few of them exist.
研究人员表示,只有七家公司处理大多数CA请求。它们是:
DigiCert
Sectigo
GoDaddy
GlobalSign
Entrust
Trustwave
Network Solutions
我们在这里列出的所有公司都同意遵守行业监督组织,如证书颁发机构安全委员会、公共计算安全标准论坛等。小心任何试图向您出售证书的非附属组织。你可能遇到的是冒名顶替者。
参考
okta.com/identity-101/certificate-authority
