數字證書有哪些常見的類型（數字證書究竟是什麼）

2023-10-19 12:36:58

在HTTPS的傳輸過程中，有一個非常關鍵的角色--數字證書，那什麼是數字證書?又有什麼作用呢?

所謂數字證書，是一種用於電腦的身份識別機制。由數字證書頒發機構(CA)對使用私鑰創建的籤名請求文件做的籤名(蓋章)，表示CA機構對證書持有者的認可。

x509的證書編碼格式有兩種：

PEM(Privacy-enhanced Electronic Mail)是明文格式的,以 -----BEGIN CERTIFICATE-----開頭，以-----END CERTIFICATE-----結尾。中間是經過base64編碼的內容,apache需要的證書就是這類編碼的證書.查看這類證書的信息的命令為: openssl x509 -noout -text -in server.pem。其實PEM就是把DER的內容進行了一次base64編碼

DER是二進位格式的證書，查看這類證書的信息的命令為: openssl x509 -noout -text -inform der -in server.der

安全證書主要分為DV、OV和EV三個種類，對應的安全等級為一般、較好和最高三個等級。三者的審核過程、審核標準和對應的域名數量也不同，所以價格在一兩百元到幾萬元不等。

DV SSL：

DV SSL證書是指驗證網站域名所有權的簡易型(Class 1級)SSL證書，可10分鐘快速頒發，能起到加密傳輸的作用，但無法向用戶證明網站的真實身份。

目前市面上的免費證書都是這個類型的，只是提供了對數據的加密，但是對提供證書的個人和機構的身份不做驗證。

OV SSL：

OV SSL,提供加密功能,對申請者做嚴格的身份審核驗證,提供可信身份證明。

和DV SSL的區別在於，OV SSL 提供了對個人或者機構的審核，能確認對方的身份，安全性更高。

EV SSL：

EV=最安全、最嚴格

EV SSL證書遵循全球統一的嚴格身份驗證標準，是目前業界安全級別最高的頂級 (Class 4級)SSL證書。

金融證券、銀行、第三方支付、網上商城等，重點強調網站安全、企業可信形象的網站，涉及交易支付、客戶隱私信息和帳號密碼的傳輸。

這部分的驗證要求最高，申請費用也是最貴的。

根據保護域名的數量，SSL證書又分為：

當你在下載並安裝瀏覽器時，瀏覽器內部其實已經內嵌了全世界公認的根證書頒發機構的證書。

若一個網站的數字證書的證書頒發機構在瀏覽器中沒有，則需要引導用戶自行導入。

如果你想在 Chrome 中查看有哪些受信任的證書頒發機構，可以點擊 設置 -> 隱私設置與安全性 -> 安全 -> 管理證書

證書是有生命周期的，如果證書的私鑰洩漏了那這個證書就得吊銷，一般有兩種吊銷方式：CRL和OCSP。

CRL( Certificate Revocation List)是CA機構維護的一個已經被吊銷的證書序列號列表，瀏覽器需要定時更新這個列表，瀏覽器在驗證證書合法性的時候也會在證書吊銷列表中查詢是否已經被吊銷，如果被吊銷了那這個證書也是不可信的。可以看出，這個列表隨著被吊銷證書的增加而增加，列表會越來越大，瀏覽器還需要定時更新，實時性也比較差。

所以，後來就有了 OCSP (Online Certificate Status Protocol)在線證書狀態協議，這個協議就是解決了 CRL 列表越來越大和實時性差的問題而生的。有了這個協議，瀏覽器就可以不用定期更新CRL了，在驗證證書的時候直接去CA伺服器實時校驗一下證書有沒有被吊銷就可以，是解決了CRL的問題，但是每次都要去CA伺服器上校驗也會很慢，在網絡環境較差的時候或者跨國訪問的時候，體驗就非常差了。