一、数字证书是什么?
数字证书以密码学为基础,采用数字签名、数字信封、时间戳服务等技术,在Internet上建立起有效的信任机制。它主要包含证书所有者的信息、证书所有者的公开密钥和证书颁发机构的数字签名、有效期、授权中心名称、证书序列号等内容。数字证书是互联网通讯过程中标记通讯各方身份信息的一串数字,以便在Internet上验证通信实体身份,通俗来讲,可以将数字证书理解为用户在网络上的身份证。
二、CA认证机构是什么?CA证书是什么?
上文提到的数字证书就是CA认证机构发行的。认证机构(CA,Certificate Authority),也叫“证书授权中心”,是采用公开密钥基础技术,专门提供网络身份认证服务,主要为检查证书持有者身份的合法性并负责签发和管理数字证书,以防证书被伪造或篡改,是具有权威性和公正性的第三方信任机构。
CA 证书顾名思义,就是CA颁发的证书,CA证书也就是我们常说的数字证书。
三、CA证书的作用是什么?
作用一:验证打开的网站是否可信(针对HTTPS)
我们都知道,在访问某些敏感的网页(例如用户注册登录页面)时,其协议都会使用 HTTPS 而不是 HTTP。这是因为 HTTP 协议是明文传输的,一旦有人故意偷窥你的网络通讯,那你的密码、账号等重要讯息就会泄露。但是如果采用加密的HTTPS 协议,可以保证信息在传输过程中无法被偷窥。所以,HTTPS 协议除了有加密的机制,还有一套证书机制,通过证书来确保某个站点的确就是某个站点。
那有了证书之后,当浏览器在访问某个 HTTPS 网站时,会验证该站点上的 CA 证书。如果浏览器发现该证书没有问题,那么页面就直接打开,否则的话,浏览器会给出一个警告,告诉你该网站的证书存在问题,是否继续访问该站点?如下图所示,如果IE浏览器提示证书验证错误,那么这个网站可能是钓鱼或者危险网站,必须要提高警惕性哦!
作用二:验证安装的文件是不是遭到篡改
如何查看签署的合同文件是否被篡改,主要是通过证书制作文件数字签名来完成。以软件安装为例,和大家说下如何验证文件数字签名。一个带有数字签名的安装文件,会显示一个“数字签名”的标签页(如下图红圈所示)。如果没有出现这个标签页,就说明该文件没有附带数字签名。
选择该标签后,可能会看到某些数字签名中由于没有包含“邮件地址”,这一项会显示“不可用”;而某些没有包含“时间戳”,也会显示“不可用”。但是没关系,这些地方显示的“不可用”跟数字签名的有效性没关系。
一般来说,签名列表中,有且仅有一个签名。选中之后点击“详细信息”按钮,会显示一行字:“该数字签名正常”,说明该文件传输过程中中没有被篡改过。但是,如果该文件被篡改过(例如感染了病毒、被注入木马),那么对话框会出现一个警告提示“该数字签名无效”。
目前大多数知名公司或组织机构发布的可执行文件(比如软件安装包、驱动程序、安全补丁)都带有数字签名。建议在安装软件之前,都可以先看看是否有数字签名,如果有,就按照上述步骤验证;如果数字签名无效,建议不要安装,否则会有安全隐患。