CA认证如何为网络浏览和数字安全保驾护航?
发布日期:2020-02-04几年前,网络上的我们几乎是透明的,除了数据传输过程本身不安全外,还需要担心下载的文件是否有病毒、蠕虫或流氓插件。而得益于近年来安全标准的不断提高和行业发展的日新月异,及时跟随系统和软件更新并做好必要安全措施的用户“中毒”的可能性已越来越小。
CA颁发的证书就像我们购买商品时看到的防伪标签,在对商品来源一无所知的时候,可以靠它来初步判断商品真伪。通常而言,一份有效的CA证书包含公钥和私钥两部分,二者相互加密、解密,即公钥加密、私钥解密或私钥加密、公钥解密。这个非对称加密过程(即加密、解密过程使用的密钥不同且成对)保护着互联网大部分通信过程。
CA认证的逻辑从授权结构上理解大概是:所有的证书都有一定的证书路径,证书路径则从根证书开始。例如操作系统或应用程序自带数个根证书,它们在该操作系统中是被认为可信的;在此前提下,由这些有效根证书颁发的二级、三级证书将一同被认为是可信的。
这些根证书的入库标准则是CA组织的信誉。若CA组织做出了违背安全原则的颁发操作,各大组织(主要是Apple、Mozilla与Microsoft)会把失信组织的根证书从信任库中删除。某些组织曾因为信度低或是篡改证书签发日期被各大组织从信任证书库中剔除。
这种认证逻辑导致CA认证并不是绝对可信的,历史上也曾出现过多次CA根证书机构滥用签发权导致不再被信任的事件。
为什么信任CA认证体系?
一方面,根证书库的更新并不频繁,各大公司对根证书的增、删也较为谨慎。在此条件下,操作系统对安装新的根证书的操作更是百般阻拦、层层设限。
所以在这个体系下造出一个自己的证书并诱导用户安装并开启是有一定难度的,相对应的,那些「有效证书」的信度也相对较高。
另一方面,目前针对HTTP的证书分为三个等级:EV、OV和DV,验证强度和可信程度逐级递减。
(图片来源于网络,如涉及侵权请告知,我们将会在第一时间删除)EV是等级最高的证书,不仅要支付一笔不算便宜的申请费,还需要提交邓白氏码等辅助验证信息才可申请。EV证书的安全性、可信性也是最高的,它的加密算法可选用更高的强度,网页浏览时也将会同步显示公司名称。
而DV证书只需要验证域名所有权或是服务器所有权即可颁发,一般只用来保证连接在加密的状态下运行,不在对安全性要求高的场合(如支付、购物等)使用。
如今的网络环境下,大面积爆发杀伤力强大的木马病毒的几率逐渐在变小,我们在网络上的通讯变得可靠了、连接变得私密了,运营商劫持也因为SSL的加入慢慢淡出主流视线。
而这些改进,有很一大部分要归功于CA证书的引入。再次回想HTTP时代,数据包经过的任何一跳都可以对它进行修改、拦截,数据安全没有保障。令人高兴的是,互联网越来越重视隐私保护与信息安全,SSL证书的加入营造了更好的互联网空间。
国内外权威CA机构推荐:
CA就是可以为用户颁发SSL证书的权威机构,全球有很多这样的机构,这里给大家介绍几个在全球排名靠前的CA机构。
DigiCert/Symantec:是全球公认最可靠证书颁发机构,90%的世界500强在使用Symantec SSL证书,工农中建等银行以及大多数金融机构都在使用Symantec SSL证书。
GeoTrust:全球第二大证书颁发机构,Geotrust的SSL证书和信任产品使各种规模的企业能够经济、高效、最大限度的提高其数字交易的安全性。
GlobalSign:是一家声誉卓著、备受信赖的 CA 中心和 SSL 数字证书提供商,致力于网络安全认证及数字证书服务。
Comodo:是著名的网络安全软件厂商,致力于为个人和企业用户提供电子邮件安全、托管DNS、PKI管理、SSL证书、安全通讯以及许多其他服务。
WoSign:沃通电子认证服务有限公司是全球信任的数字证书颁发机构(CA机构),提供基于PKI技术的数字证书产品和可信认证服务,让互联网更加安全可信。
沃通(WoSign) 作为国产数字证书的领导者,始终致力于构建安全可信的互联网环境,推进中国数字证书国产化、中文化、国际标准化,新推出的国密SSL证书产品(WoTrus)是同时支持国际标准和国内算法标准的数字证书品牌。