什么是数字证书?
数字证书是一种数字文档,用于证明用于加密在线资产(例如电子邮件通信、文档、网站或软件应用程序)的公钥的真实性。
数字证书,也称为身份证书或公钥证书,是一种利用公钥基础设施 (PKI) 的电子密码,使个人和企业能够通过互联网安全地共享数据。
数字证书利用密码学和公钥验证网站、计算机或个人的身份,确保只有授权设备才能连接到组织的网络。数字证书还可以用于向互联网浏览器验证网站的合法性。网站、组织或个人都可以申请数字证书,该证书必须由公众认可的证书颁发机构 (CA) 进行验证。
互联网对话、数据和网站可以使用数字证书进行保护。数字证书存在一些可能被利用的漏洞;然而,受此类公钥证书保护的网站比未受保护的网站更值得信赖。
数字证书包含以下可识别信息:
- 用户名
- 用户所属的部门或公司
- 与设备关联的互联网协议 (IP) 地址或序列号
- 从证书持有者处获得的公钥副本
- 证书的有效期
- 证书被授权代表的域
数字证书与数字签名
数字证书用于验证用户或设备的真实性,并允许加密通信。
数字签名是一种哈希技术,它使用一串数字来建立真实性并验证身份。通常,文档或电子邮件会附带一个使用加密密钥生成的数字签名。这些签名会被哈希处理,接收方在收到消息后使用相同的哈希算法来解码。
数字证书是如何工作的?
数字证书由权威可信的根证书颁发机构统一签发,用以证明信息发送方身份,任何人都可通过证书机构的公钥完成签名验证。
各类浏览器与网络应用软件中,已预先内置权威机构的公钥,主流电子设备均可直接调用。
证书内置公钥基础设施(PKI)相关内容,包含一对公私密钥。部署于网页服务器后,会向访问浏览器推送网站公钥及适配的对称加密算法列表。浏览器利用该公钥加密传输会话密钥,以此加密双方全程通信数据。
同时,证书内置的公钥可核验企业分发软件的完整性与真实性,方便用户甄别软件是否被篡改、植入恶意程序。凭借证书颁发机构的官方签名,任何人都能快速验证文件真伪。
数字证书设有固定有效期,普遍为一至两年,到期自动失效。证书设置有效期并非单纯强制续费,核心作用是管控证书吊销列表(CRL)长度。失效吊销的证书到期后,可从吊销列表中移除,避免列表冗余臃肿。
数字证书申请
正规证书颁发机构需严格遵守行业统一标准,主流浏览器与设备系统,均预先录入可信机构名单,证书核验多在后台自动完成,无需用户手动操作。
网站使用数字证书来建立 HTTPS 连接,其真实性由可信的证书颁发机构(CA)验证背书。这有助于用户确认他们访问的网站是否合法,而非欺诈网站。
数字证书还被用于电子商务,以保护敏感的、可识别的和财务数据。数字证书广泛应用于在线零售、贸易、银行和游戏领域。电子信用卡用户和零售商可以使用数字证书来保障金融交易的安全。
电子邮件通信是数字证书的另一个典型用途。电子邮件通常还会包含数字签名,该签名使用哈希算法对通信进行加密。
数字证书的类型
出于安全原因使用的数字证书类型有:
代码签名证书
这种数字证书用于对下载的软件或数据进行签名。它们由软件的开发者/发布者签名,旨在确保程序或文件的真实性,并符合发布者的声明。对于通过第三方网站分发产品的发布者来说,这种证书尤其有用。代码签名证书还能证明下载的文件未被篡改。
客户端证书
数字身份(或称客户端证书)用于识别用户之间的身份、设备之间的身份或系统之间的身份。电子邮件就是一个常见的例子,发件人会对邮件进行电子签名,收件人则会确认签名。发件人和收件人的身份验证都是通过客户端证书实现的。当用户需要访问受限数据库或进入支付门户的网关时,客户端证书可以作为双因素身份验证手段,用户需要输入凭据并接受进一步验证。
传输层安全/安全套接字层 (TLS/SSL) 证书
服务器端安装了 TLS/SSL 证书。这些证书旨在确保所有客户端与服务器之间的通信都是保密且加密的。服务器可以是 Web 服务器、应用服务器、邮件服务器、LDAP 服务器或其他需要身份验证才能发送或接收加密数据的服务器类型。受 TLS/SSL 证书保护的网站地址将以”https://”开头,而不是”http://”,其中”s”代表”安全”。
SSL 证书可细分为以下几类:
- 单域名 SSL 证书:单域名 SSL 证书为单个域名或子域名提供强大的加密保护。价格合理,适用于博客、社区和单域名网站。此证书对带 www 和不带 www 的域名均有效。
- 多域名 SSL 证书:此 SSL 证书可部署在多台服务器上,因此能够以低成本加密多个域名和子域名。该证书能够保护大约 250 个域名(根据提供商提供的信息)。
- 通配符 SSL:通配符 SSL 证书保护主域名的一级子域名。所有子域名都将使用相同级别的加密(SHA-2)。
- 多域名通配符 SSL:多域名通配符证书是保护多层通配符域名或子域名的最佳方法,这些域名或子域名需要强大的加密功能。
证书颁发机构(CA)证书
证书颁发机构证书是一种电子凭证,用于验证颁发该证书的证书颁发机构 (CA) 的真实性。证书颁发机构的证书包含其身份信息和公钥。其他机构可以使用证书颁发机构的公钥来验证由该机构颁发和签名的证书的有效性。证书颁发机构证书可以由其他 CA(例如 VeriSign)颁发,也可以由证书颁发机构自身签名(如果该机构是独立运营的机构)。
用户证书
用户证书是一种虚拟凭证,用于验证用户或客户端的身份。现在许多程序都提供使用证书而非密码和用户名来识别用户访问资源的功能。数字证书管理器 (DCM) 会自动关联由您的私有证书颁发机构颁发的用户证书。
对象签名证书
对象签名证书用于对项目进行数字”签名”。对项目进行签名可以验证对象的完整性、来源或所有权。可以使用该证书验证许多项目,包括大多数集成文件系统 (IFS) 和 CMD 对象。当您使用对象签名证书的私钥对对象进行签名时,接收方必须拥有匹配的签名验证证书副本才能验证对象签名。
签名验证证书
签名验证证书是对象签名证书的副本,但缺少私钥。签名验证证书的公钥用于验证对象签名证书生成的数字签名。验证签名可以帮助确定对象的来源,以及对象在签名后是否被修改过。
1/2/3级证书
数字证书还可以根据其获取者进行分类。以下是三种不同类型的证书:
第一类证书:这些证书发送给私人/个人订阅者。这些证书将验证用户的姓名(或别名)和电子邮件地址在证书颁发机构数据库中是否构成清晰的信息。 第二类:此类证书可用于商业和个人用途。这些证书将验证用户申请中的数据与知名消费者数据库中的信息是否一致。 第三类证书:此类证书将颁发给个人和公司。由于它们是专为电子商务运营而设立的高级别证书,因此仅颁发给亲自到认证机构办理证书的人员。
公钥证书
公钥证书可以被视为电子版的护照。它由信誉良好的机构颁发,用于识别持有者身份。提供公钥证书的可信机构被称为证书颁发机构(CA)。CA 可以等同于持有执照的专业人士。
数字证书的作用
基于数字证书的身份验证最显著的优势在于隐私保护。数字证书通过加密通信内容(例如电子邮件、登录信息和网上银行交易),保护隐私信息,防止其落入不法分子之手。此外,数字证书系统也非常易于使用,通常可以自动运行,只需发送方或接收方进行极少的操作。
数字证书的主要优势包括:
- 保护在线通信
互联网上每天都会传输数千封电子邮件。出于安全考虑,在电子邮件中附加数字证书并验证发件人身份是多方之间传输敏感信息的常见做法。
- 可轻松扩展到各种规模的企业。
数字证书可以为各种规模的企业提供同等级别的加密保护。借助托管公钥基础设施 (PKI) 软件等系统,可以相对轻松地集中维护证书。数字证书具有极强的可扩展性,甚至可以用于保护自带设备 (BYOD),可以快速颁发、注销和续订机构的证书。
- 增强用户/客户信任
通过加密浏览器并对文件和电子邮件进行电子签名,可以为客户树立良好的形象。
- 减轻硬件负担
与其他选项(例如一次性凭证和生物识别)相比,此方法无需额外的硬件。证书保存在用户计算机本地,避免了令牌丢失或遗忘的风险。证书可以传输到其他设备,以满足拥有多台设备的用户需求。
- 增加可信度和法律约束力
在恶意行为者可能伪造电子邮件和网站的时代,数字证书可确保信息送达预期收件人。SSL 证书加密网站,S/MIME 加密并签署电子邮件,而文档签名证书则对文档进行数字签名。
- 简化访问管理
大多数基于证书的身份验证系统都包含一个基于云的管理门户,管理员可以通过该门户轻松地向新员工颁发证书、更新证书或在团队成员离职时撤销证书。允许自动注册和静默安装的解决方案与 Active Directory 交互,可以进一步简化注册和颁发流程。
- 保护电子商务交易
网站、门户网站和电商平台必须安全可靠,证书颁发机构的安全印章或安全套接层 (SSL) 证书可以加密电子商务网站上的机密信息。这让消费者对网上购物、信用卡信息披露和商业交易的安全性和可靠性更有信心。
- 在确保隐私的同时优化成本
企业在保障通信安全时,数字证书可以保护关键信息,防止未经授权的第三方查看。这项技术能够保护拥有大量敏感数据的企业和个人。此外,数字证书的成本也低于传统的加密和认证技术。大多数数字证书的年费低于 500元。
原创文章,作者:余初云,如若转载,请注明出处:https://blog.jidcy.com/jsjc/2572.html