數字證書有哪些常見的類型(數字證書究竟是什麼)
2023-10-19 12:36:58
在HTTPS的傳輸過程中,有一個非常關鍵的角色--數字證書,那什麼是數字證書?又有什麼作用呢?
所謂數字證書,是一種用於電腦的身份識別機制。由數字證書頒發機構(CA)對使用私鑰創建的籤名請求文件做的籤名(蓋章),表示CA機構對證書持有者的認可。
(1) 數字證書擁有以下幾個優點使用數字證書能夠提高用戶的可信度;數字證書中的公鑰,能夠與服務端的私鑰配對使用,實現數據傳輸過程中的加密和解密;在認證使用者身份期間,使用者的敏感個人數據並不會被傳輸至證書持有者的網絡系統上;(2) 證書類型x509的證書編碼格式有兩種:
PEM(Privacy-enhanced Electronic Mail)是明文格式的,以 -----BEGIN CERTIFICATE-----開頭,以-----END CERTIFICATE-----結尾。中間是經過base64編碼的內容,apache需要的證書就是這類編碼的證書.查看這類證書的信息的命令為: openssl x509 -noout -text -in server.pem。其實PEM就是把DER的內容進行了一次base64編碼
DER是二進位格式的證書,查看這類證書的信息的命令為: openssl x509 -noout -text -inform der -in server.der
(3) 擴展名.crt證書文件,可以是DER(二進位)編碼的,也可以是PEM(ASCII (Base64))編碼的),在類unix系統中比較常見;.cer也是證書,常見於Windows系統。編碼類型同樣可以是DER或者PEM的,windows下有工具可以轉換crt到cer;.csr證書籤名請求文件,一般是生成請求以後發送給CA,然後CA會給您籤名並發回證書.key一般公鑰或者密鑰都會用這種擴展名,可以是DER編碼的或者是PEM編碼的。查看DER編碼的(公鑰或者密鑰)的文件的命令為: openssl rsa -inform DER -noout -text -in xxx.key。查看PEM編碼的(公鑰或者密鑰)的文件的命令為: openssl rsa -inform PEM -noout -text -in xxx.key;.p12證書文件,包含一個X509證書和一個被密碼保護的私鑰(4) 證書的種類安全證書主要分為DV、OV和EV三個種類,對應的安全等級為一般、較好和最高三個等級。三者的審核過程、審核標準和對應的域名數量也不同,所以價格在一兩百元到幾萬元不等。
DV SSL:
DV SSL證書是指驗證網站域名所有權的簡易型(Class 1級)SSL證書,可10分鐘快速頒發,能起到加密傳輸的作用,但無法向用戶證明網站的真實身份。
目前市面上的免費證書都是這個類型的,只是提供了對數據的加密,但是對提供證書的個人和機構的身份不做驗證。
OV SSL:
OV SSL,提供加密功能,對申請者做嚴格的身份審核驗證,提供可信身份證明。
和DV SSL的區別在於,OV SSL 提供了對個人或者機構的審核,能確認對方的身份,安全性更高。
EV SSL:
EV=最安全、最嚴格
EV SSL證書遵循全球統一的嚴格身份驗證標準,是目前業界安全級別最高的頂級 (Class 4級)SSL證書。
金融證券、銀行、第三方支付、網上商城等,重點強調網站安全、企業可信形象的網站,涉及交易支付、客戶隱私信息和帳號密碼的傳輸。
這部分的驗證要求最高,申請費用也是最貴的。
根據保護域名的數量,SSL證書又分為:
單域名版:只保護一個域名,例如 www.abc.com 或者 login.abc.com 之類的單個域名多域名版:一張證書可以保護多個域名,例如同時保護 www.abc.com , www.bcd.com, pay.efg.com 等通配符版:一張證書保護同一個主域名下同一級的所有子域名,不限個數,形如 *.abc.com 。注意,通配符版只有 DVSSL 和 OVSSL 具有, EVSSL 不具有通配符版本。(5) 證書在哪裡當你在下載並安裝瀏覽器時,瀏覽器內部其實已經內嵌了全世界公認的根證書頒發機構的證書。
若一個網站的數字證書的證書頒發機構在瀏覽器中沒有,則需要引導用戶自行導入。
如果你想在 Chrome 中查看有哪些受信任的證書頒發機構,可以點擊 設置 -> 隱私設置與安全性 -> 安全 -> 管理證書
(6) 證書裡的信息證書是哪個機構的?證書裡的公鑰是什麼?證書有效期是什麼時候?採用的哪種加解密的算法?(7) 證書吊銷證書是有生命周期的,如果證書的私鑰洩漏了那這個證書就得吊銷,一般有兩種吊銷方式:CRL和OCSP。
CRL( Certificate Revocation List)是CA機構維護的一個已經被吊銷的證書序列號列表,瀏覽器需要定時更新這個列表,瀏覽器在驗證證書合法性的時候也會在證書吊銷列表中查詢是否已經被吊銷,如果被吊銷了那這個證書也是不可信的。可以看出,這個列表隨著被吊銷證書的增加而增加,列表會越來越大,瀏覽器還需要定時更新,實時性也比較差。
所以,後來就有了 OCSP (Online Certificate Status Protocol)在線證書狀態協議,這個協議就是解決了 CRL 列表越來越大和實時性差的問題而生的。有了這個協議,瀏覽器就可以不用定期更新CRL了,在驗證證書的時候直接去CA伺服器實時校驗一下證書有沒有被吊銷就可以,是解決了CRL的問題,但是每次都要去CA伺服器上校驗也會很慢,在網絡環境較差的時候或者跨國訪問的時候,體驗就非常差了。
,