安装SSL证书可以对网站起到数据加密和身份验证的作用,这点想必很多老手站长用户都很知晓,不过许多人没有意识到最终用户SSL证书只是证书链的一部分,本文下面就来说说中间证书和根证书之间有什么区别?
什么是根证书?
根证书,通常称为可信根,是信任SSL/TLS的信任模型的中心。每个浏览器都包含根存储。有些浏览器是自己运行,有些浏览器是使用第三方商店。根存储是安装在设备上的预下载根证书的集合。根证书是无价的,因为使用其私钥签名的任何证书都将被浏览器自动信任。
什么是中间证书?
中间证书,其实也叫中间CA(中间证书颁发机构,Intermediate certificate authority, Intermedia CA),对应的是根证书颁发机构(Root certificate authority ,Root CA)。为了验证证书是否可信,必须确保证书的颁发机构在设备的可信CA中。
如果证书不是由可信CA签发,则会检查颁发这个CA证书的上层CA证书是否是可信CA,客户端将重复这个步骤,直到证明找到了可信CA(将允许建立可信连接)或者证明没有可信CA(将提示错误)。
因为如果直接采用根证书签发证书,一旦发生根证书泄露,将造成极大的安全问题。中间证书可以不止一个,目前我们经常看到有两级中间证书的,原则上中间证书层数越多,根证书越安全。但是一般情况下最多也不超过2级。中间证书是可以在一定程度上保护根证书的。
为了保证客户端和服务端通过HTTPS成功通信,我们在安装部署SSL证书时,需要安装CA根证书和中间证书。如果访客通过浏览器访问网站,则我们无需关注根证书,因为CA根证书已经内置在浏览器中,这时我们只要在Web服务器安装经CA机构签发的SSL证书,便可实现浏览器与服务端的HTTPS通信。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
