ca 證書機制

不少人都聽過 CA 證書，其實咱們天天都在使用它，即便你不知道。下面通俗的解釋一下 CA 證書是什麼。

假設你 A 公司的一名技術人員，要去 B 公司拜訪，可是 B 公司的人都不認識你，怎麼辦？

常見的作法是，A 公司給你開張介紹信：「xxx公司委派技術員xxx前往貴公司辦理業務，請予以方便。」而後在介紹信上蓋上公章。

你來到 B 公司，給前臺遞上介紹信，B 公司相信你不是壞人，給你相應的配合（權限）。

這裏有兩個問題先思考，留待後面解決：

1. 人是假的，介紹信是真的？
2. 人是假的，介紹信是假的（私刻公章）？

假如來 B 公司辦業務的人很是多，每家公司的公章都不相同，前臺很難識別各類各樣的公章，很是麻煩。

有個中介公司 C 發現這個商機，專門開辦一項代理公章業務，作公司間的信用擔保。

今後，A 公司去 B 公司辦事須要帶 2 份介紹信：

1. 含有 C 公司公章和 A 公司公章的介紹信，並註明 C 公司信任 A 公司
2. 含有 A 公司公章的介紹信，寫上 「xxx公司委派技術員xxx前往貴公司辦理業務，請予以方便。」

搞這麼麻煩有啥好處呢？首先前臺只須要記住 C 公司的公章便可，當拿到兩份介紹信之後，先對第一份介紹信的 C 公章進行確認，確認無誤後再對比 2 份介紹信上的 A 公章是否一致，一致則能夠信任。

相關專業術語

故事講完了，結合對故事的理解，下面講技術。

證書

證書英文叫 digital certificate 或 public key certificate，用來證實某個東西確實是某某的東西，例如經過公章證實 A 公司的介紹信確實是 A 公司頒發的。

CA

CA 是 cretificate Authority 即證書受權中心。

CA 是負責管理和簽發證書的第三方機構，就像 C 公司。機構必須是全部人達成信任共識的，具備足夠的權威才能在中間作信任擔保（其實這裏就存在安全性問題，有時候信任是脆弱的）。

CA 證書

由權威 CA 頒發的證書，雖然人人均可以頒發證書，可是我的沒有權威性，就像是我給你頒發一個最牛逼程序員將，沒有權威性，若是美國計算機協會給你頒發個圖靈將，權威性大大的，走到哪都被承認。

證書間信任關係

用一個證書來證實另外一個證書是可信的，例如 C 公司公章和 A 公司公章在同一張介紹信上，註明公章 C 信任公章 A，A 也是可信的。

證書信任鏈

簡單說，信任關係是能夠傳遞的，只要你信任頭一個證書，後續的證書都是能夠信任的。

C 信任 A，A 信任 A1，A1 信任 A2，A、A一、A2 都是可信任的。

根證書

根證書 root certificate。在證書的信任鏈中，A1 能夠由 A 證實可信任，A 由 C 證實可信任，C 由誰證實可信任呢？C 不須要證實本身是可信任的，由於它是權威機構，這就是根證書（處於樹結構的頂端）。

根證書是整個證書安全體系的根本，若是根證書出現問題，所有 gg。

證書的做用

HTTPS

HTTPS 是加密的協議，能夠保證傳輸過程當中，沒法被竊取信息。可是加密並不能保證萬事大吉，假如黑客把你誘騙到一個假的 HTTPS 站點，而後你輸入帳號密碼，信息就被竊取了，加密不能保證訪問網站的真實性。

爲了防止上面的狀況，HTTPS 不只有加密機制，還有一套證書機制（經過權威機構受權網站的真實性）。

開啓 HTTPS 的網站都有一個權威機構頒發的 CA 證書，咱們在瀏覽器訪問某個 HTTPS 網站時，會驗證該網站的證書確保網站的真實性（網站證書被某個根證書信任、證書上綁定的域名與網站一致、證書沒有過時），證書錯誤時瀏覽器會彈出警告，告訴你證書有問題，就須要懷疑網站的真實性了。