在互聯網安全通信方式上，目前用的最多的就是https配合ssl和數字證書來保證傳輸和認證安全了，而數字證書在ssl傳輸過程中扮演着身份認證和密鑰分發的功能。那麼究竟什麼是數字證書呢？

什麼是數字證書？

簡而言之數字證書是一種網絡上證明持有者身份的文件，同時還包含有公鑰。一方面，既然是文件那麼就有可能“僞造”，因此，證書的真僞就需要一個驗證方式；另一方面，驗證方需要認同這種驗證方式。

數字證書可以由國際上公認的證書機構頒發，這些機構是公認的信任機構，一些驗證證書的客戶端應用程序：比如浏覽器，郵件客戶端等，對于這些機構頒發的證書完全信任。當然想要請這些機構頒發證書可是要付“到了斯”的，通常在windows部署系統的時候會讓客戶端安裝我們自己服務器的根證書，這樣客戶端同樣可以信任我們的證書。而客戶端程序通常通過維護一個“根受信任機構列表”，當收到一個證書時，查看這個證書是否是該列表中的機構頒發的，如果是則這個證書是可信任的，否則就不信任。

數字證書的信任問題？

作為一個https的站點需要與一個數字證書綁定，無論如何，數字證書總是需要一個機構頒發的，這個機構可以是國際公認的證書機構，也可以是任何一台安裝有證書服務的計算機。客戶端是否能夠信任這個站點的證書，首先取決于客戶端程序是否導入了證書頒發者的根證書

有時一個證書機構可能授權另一個證書機構頒發證書，這樣就出現了證書鍊。IE浏覽器在驗證證書的時候主要從下面三個方面考察，隻要有任何一個不滿足都将給出警告

證書的頒發者是否在“根受信任的證書頒發機構列表”中

證書是否過期？

證書的持有者是否和訪問的網站一緻，另外，浏覽器還會定期查看證書頒發者公布的“證書吊銷列表”，如果某個證書雖然符合上述條件，但是被它的頒發者在“證書吊銷列表”中列出，那麼也将給出警告。每個證書的CRL Distribution Point字段顯示了查看這個列表的url。盡管如此，windows對于這個列表是“不敏感”的，也就是說windows的api會緩存這個列表，直到設置的緩存過期才會再從CRL Distribution Point中下載新的列表。目前，隻能通過在證書頒發服務端盡量小的設置這個有效期（最小1天），來盡量使windows的客戶端“敏感”些。

以上就是數字證書原理相關内容相關信息，更多請關注上海CA中心其它相關文章！上海CA中心成立于1998年,是中央密碼工作領導小組批準的唯一試點,為政府、企事業單位、個人等提供合法合規的第三方電子認證、數字身份相關産品和集成實施服務！

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!