認(rèn)證機(jī)構(gòu)(CA,Certificate Authority),也叫“證書授權(quán)中心”,是采用公開密鑰基礎(chǔ)技術(shù),專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù),主要為檢查證書持有者身份的合法性并負(fù)責(zé)簽發(fā)和管理數(shù)字證書,以防證書被偽造或篡改,是具有權(quán)威性和公正性的第三方信任機(jī)構(gòu)。
CA 證書顧名思義,就是CA頒發(fā)的證書,CA證書也就是我們常說的數(shù)字證書。
CA證書的作用是什么?
作用一:驗(yàn)證打開的網(wǎng)站是否可信(針對HTTPS)
我們都知道,在訪問某些敏感的網(wǎng)頁(例如用戶注冊登錄頁面)時(shí),其協(xié)議都會(huì)使用 HTTPS 而不是 HTTP。這是因?yàn)?HTTP 協(xié)議是明文傳輸?shù)模坏┯腥斯室馔蹈Q你的網(wǎng)絡(luò)通訊,那你的密碼、賬號(hào)等重要訊息就會(huì)泄露。但是如果采用加密的HTTPS 協(xié)議,可以保證信息在傳輸過程中無法被偷窺。所以,HTTPS 協(xié)議除了有加密的機(jī)制,還有一套證書機(jī)制,通過證書來確保某個(gè)站點(diǎn)的確就是某個(gè)站點(diǎn)。
那有了證書之后,當(dāng)瀏覽器在訪問某個(gè) HTTPS 網(wǎng)站時(shí),會(huì)驗(yàn)證該站點(diǎn)上的 CA 證書。如果瀏覽器發(fā)現(xiàn)該證書沒有問題,那么頁面就直接打開,否則的話,瀏覽器會(huì)給出一個(gè)警告,告訴你該網(wǎng)站的證書存在問題,是否繼續(xù)訪問該站點(diǎn)?如下圖所示,如果IE瀏覽器提示證書驗(yàn)證錯(cuò)誤,那么這個(gè)網(wǎng)站可能是釣魚或者危險(xiǎn)網(wǎng)站,必須要提高警惕性哦!
作用二:驗(yàn)證安裝的文件是不是遭到篡改
如何查看簽署的合同文件是否被篡改,主要是通過證書制作文件數(shù)字簽名來完成。以軟件安裝為例,和大家說下如何驗(yàn)證文件數(shù)字簽名。一個(gè)帶有數(shù)字簽名的安裝文件,會(huì)顯示一個(gè)“數(shù)字簽名”的標(biāo)簽頁(如下圖紅圈所示)。如果沒有出現(xiàn)這個(gè)標(biāo)簽頁,就說明該文件沒有附帶數(shù)字簽名。
選擇該標(biāo)簽后,可能會(huì)看到某些數(shù)字簽名中由于沒有包含“郵件地址”,這一項(xiàng)會(huì)顯示“不可用”;而某些沒有包含“時(shí)間戳”,也會(huì)顯示“不可用”。但是沒關(guān)系,這些地方顯示的“不可用”跟數(shù)字簽名的有效性沒關(guān)系。
一般來說,簽名列表中,有且僅有一個(gè)簽名。選中之后點(diǎn)擊“詳細(xì)信息”按鈕,會(huì)顯示一行字:“該數(shù)字簽名正常”,說明該文件傳輸過程中中沒有被篡改過。但是,如果該文件被篡改過(例如感染了病毒、被注入木馬),那么對話框會(huì)出現(xiàn)一個(gè)警告提示“該數(shù)字簽名無效”。
目前大多數(shù)知名公司或組織機(jī)構(gòu)發(fā)布的可執(zhí)行文件(比如軟件安裝包、驅(qū)動(dòng)程序、安全補(bǔ)丁)都帶有數(shù)字簽名。建議在安裝軟件之前,都可以先看看是否有數(shù)字簽名,如果有,就按照上述步驟驗(yàn)證;如果數(shù)字簽名無效,建議不要安裝,否則會(huì)有安全隱患。
