當您訪問以HTTPS開頭的網(wǎng)站時，即表示正在使用CA。CA是Internet的重要組成部分。如果不存在CA，那么將無法安全在線購物以及使用網(wǎng)銀在線業(yè)務(wù)等。什么是CA？CA具體是做什么的，又是如何確保您的交易和通信變得更安全，本文將詳細解答。

什么是CA？

CA是Certificate Authority的縮寫，也叫證書頒發(fā)機構(gòu)，即頒發(fā)數(shù)字證書的機構(gòu)，也是受信任的第三方機構(gòu)，是負責簽發(fā)證書、認證證書、管理已頒發(fā)證書的機關(guān)，目的就是為了讓企業(yè)組織和用戶的信息數(shù)據(jù)等能夠在互聯(lián)網(wǎng)環(huán)境下更加安全。

這樣說，可能還是有點迷糊，我們舉例說明一下：

假設(shè)您正在訪問某個銀行網(wǎng)站，如boc.cn：

這是boc.cn在Google Chrome瀏覽器的顯示的樣式

如果看到一個如上截圖非常相像的網(wǎng)站，如何判斷這個網(wǎng)站是連接到boc運行的服務(wù)器？萬一是一個黑客仿的一個boc.cn網(wǎng)站，那么您如何知道是連接到真實網(wǎng)站呢？這就是CA的工作了。證書頒發(fā)機構(gòu)(CA)會驗證該網(wǎng)站的企業(yè)信息，這樣就知道您是與誰在進行通信，而且還可以查看該網(wǎng)站上的SSL證書的詳細信息，了解該網(wǎng)站是經(jīng)過Digicert CA嚴格驗證的，也可以確信您與真實的boc.cn建立了通信。

上圖是該網(wǎng)站證書詳細信息

因此，證書頒發(fā)機構(gòu)就像是給互聯(lián)網(wǎng)頒發(fā)護照的機構(gòu)。CA會收取少量費用以完成驗證流程并頒發(fā)證書，該證書可證明企業(yè)組織的身份，并保護用戶與服務(wù)器之間傳輸數(shù)據(jù)的安全。

CA工作原理

證書頒發(fā)機構(gòu)（CA）是PKI（公鑰基礎(chǔ)設(shè)施）系統(tǒng)中重要組成部分之一。當您訪問一個掛有安全鎖的網(wǎng)站，就表示該網(wǎng)站使用了SSL/TLS證書，而SSL/TLS證書是基于PKI， 并且需要以下幾個關(guān)鍵東西才能正常使用SSL/TLS證書：

• 一張數(shù)字證書（如SSL/TLS證書），以證明該網(wǎng)站的真實身份；

• 一個CA，用于驗證網(wǎng)站，并頒發(fā)數(shù)字證書；

• 一個數(shù)字簽名，證明SSL證書是由受信任的證書頒發(fā)機構(gòu)頒發(fā)的；

• 一個公鑰，用于向網(wǎng)站發(fā)送的數(shù)據(jù)加密；

• 一個私鑰，網(wǎng)站用來解密數(shù)據(jù)；

下圖可清楚了解CA在PKI中扮演的角色:

CA具體是做什么？

如上所述，商業(yè)證書頒發(fā)機構(gòu)是PKI系統(tǒng)中不可或缺的一部分，那么CA具體是做哪些工作呢？

• 審核域名，通過官方記錄平臺驗證個人，企業(yè)組織的身份信息；

• 頒發(fā)對服務(wù)器，個人，企業(yè)組織進行身份驗證的數(shù)字證書，以建立信任；

• 維護證書吊銷列表，這些列表是指證書在到期之前何時失效。

下面仔細講解一下以上三個功能：

驗證

當一個網(wǎng)站向CA申請數(shù)字證書時，CA將根據(jù)申請的證書類型完成其驗證過程：

域名驗證：CA僅驗證申請者是否是該域名的合法管理員而已，所以它是所有驗證類型中最簡單，最低級別的一種。

企業(yè)驗證：CA不僅會驗證域名的合法性，而且還會進一步驗證企業(yè)的基本信息。CA會審核證書申請者提供的企業(yè)信息，也會從第三方平臺（一般是官方平臺）調(diào)查審核該企業(yè)是否真實合法。

擴展驗證：這是最嚴格驗證級別，在為期1-5天的驗證過程中，CA會對申請者的企業(yè)組織進行全面的審核驗證，以確保企業(yè)組織是真正合法。

通過CA對個人或企業(yè)組織進行驗證，可以為用戶提供更好的安全保證，確保該網(wǎng)站是真實的。

數(shù)字證書

個人，企業(yè)組織的身份信息經(jīng)過CA嚴格驗證通過后，CA將頒發(fā)數(shù)字證書，這也將幫助您網(wǎng)站與您的瀏覽器建立起信任。目前CA可發(fā)行多種類型的數(shù)字證書，每種證書在PKI中扮演不同的角色。

SSL/TLS證書

SSL/TLS證書有助于客戶端瀏覽器與Web服務(wù)器之間進行安全的加密連接。安裝了這類證書可消除URL欄中“不安全“的警告，保證了雙方傳遞信息的安全性，防止數(shù)據(jù)信息的泄露。根據(jù)保護域名數(shù)量來分的話，可以劃分為：單域名證書，多域名證書，通配符證書，多域名通配符證書。所以您可以根據(jù)需要保護的域名數(shù)量來選擇，就通用性而言，多域名通配符證書功能最為豐富。

代碼簽名證書

代碼簽名證書是提供給軟件開發(fā)者，發(fā)布者對其開發(fā)的可執(zhí)行腳本，軟件代碼進行數(shù)字簽名的證書。這類證書可驗證開發(fā)者身份的真實性，使得該軟件的來源安全可信，并保護代碼的完整性，確保該代碼未被非法篡改。

電子郵件簽名證書

電子郵件簽名證書也稱S/MIME證書，它是通過使用S/MIME協(xié)議，對電子郵件及其附件進行數(shù)字簽名和加密，驗證發(fā)件人，并驗證是否被篡改，防止數(shù)據(jù)泄露和身份偽造，因此可有效防止釣魚郵件。

使用郵件簽名證書簽名時，電子郵件方式顯示如下：

點開右側(cè)紅色圖標，即可查看證書的詳細信息。如圖所示：

文檔簽名證書

文檔簽名證書對驗證文檔創(chuàng)建者和文檔本身的完整性非常有用，可在PDF文檔進行數(shù)字簽名，使電子文檔具有不可篡改與合法身份識別的特性。這類證書非常適用于政府機關(guān)，醫(yī)療衛(wèi)生，法律教育等行業(yè)。

CA在證書吊銷中的角色

從本質(zhì)上說，證書吊銷列表（Certificate Revocation List, 簡稱： CRL）其實就是證書的黑名單，這些進入黑名單的證書是由CA所簽署的，說明該證書是有問題的，將不再受信任?？蛻舳丝梢月?lián)系CA檢查這個吊銷列表，或者網(wǎng)站服務(wù)器也可以通過OCSP （Online Certificate Status Protocol, 證書狀態(tài)在線查詢協(xié)議）自動查詢檢測該數(shù)字證書在某一時間是否有效，然后向請求者發(fā)送查詢結(jié)果，一般三個狀態(tài)：正常，吊銷，未知。

CRL是否與CA的CT日志（Certificate Transparency，證書透明化日志）相同？答案是否定的。這是兩件不同的事情。每當CA頒發(fā)新的數(shù)字證書時，它都必須在其公共CT日志上創(chuàng)建一個新條目。但是，如果CA在頒發(fā)的證書到期之前就宣布該證書失效，那么CA將會把該證書添加到吊銷列表中。

總的來說，證書頒發(fā)機構(gòu)(CA)在互聯(lián)網(wǎng)環(huán)境下占據(jù)非常重要的地位，有了這樣權(quán)威的第三方機構(gòu)，不論是您的站點，還是軟件代碼，或者郵件，文檔等都將得到有效地保護，確保向用戶展示真實身份，而且傳輸?shù)臄?shù)據(jù)的安全性和隱私權(quán)都能得以保障。