数字证书被定义为数字文档,它证明用于加密在线资产(即电子邮件通信、文档、网站或软件应用程序)的公钥的真实性。本文解释了数字证书的工作原理、您可以使用的不同类型以及使用数字证书的好处和挑战。
什么是数字证书?
数字证书是一种数字文档,证明用于加密在线资产(即电子邮件通信、文档、网站或软件应用程序)的公钥的真实性。
数字证书也称为身份证书和公钥证书,是一种利用公钥基础设施 (PKI) 并使个人和企业能够通过互联网安全地共享数据的电子密码。
数字证书使用密码学和公钥验证站点、计算机或个人的身份,保证只有授权的设备才能连接到组织的网络。人们还可以使用它们来验证网站对互联网浏览器的有效性。网站、组织或个人可能会寻求数字证书,该证书必须由公众信任的证书颁发机构 (CA) 进行验证。
互联网对话、数据和网站可以使用数字证书来保护。数字证书存在某些可能可利用的缺陷;但是,受此类公钥认证保护的网站被认为比未受此类认证的网站更值得信赖。
数字证书包含以下可识别信息:
用户名
用户所属部门或公司
与设备关联的互联网协议 (IP) 地址或序列号
从证书持有者处获得的公钥副本
证书有效期
证书被授权代表的域
数字证书与数字签名
数字证书验证用户或设备的真实性并允许加密通信。数字签名是一种散列技术,它使用一串数字来确定真实性和验证身份。通常,文档或电子邮件仅使用加密密钥附加数字签名。签名经过哈希处理,接收方在收到消息后使用相同的哈希算法对消息进行解码。
数字证书如何运作?
他们从根证书颁发机构开始,这是一个受信任的组织,颁发证明发件人身份的证书。任何人都可以通过认证机构的公钥检查签名。
该公钥来自哪里?可信机构的公钥与浏览器和其他互联网软件应用程序集成;因此,它们应该出现在所有当前的计算机上。
该证书包含有关公钥基础设施 (PKI) 的信息,包括一对私钥和公钥。当在 Web 服务器上实施时,它可能会向浏览器的访问者提供您的公钥和您的站点支持的对称密码列表。浏览器可能会使用此公钥来传输包含对称密钥的加密消息,该对称密钥将在会话期间加密您与访问者浏览器之间的通信。
您还可以在证书中包含公钥以验证您的组织分发的软件,以便从 Web 下载它的任何人都可以验证它没有被更改或被恶意软件感染。由于认证机构签署证书,任何人都可以验证其真实性。
证书有固定的生命周期,通常是一年或两年,之后它们就会失效。一些人声称它们会过期,因此所有者必须购买额外的证书,但有不同的解释。吊销证书时,其信息会上传到证书吊销列表 (CRL),客户端软件会在接受之前对其进行检查。 认证到期日防止 CRL 变得太长;当撤销的证书失效时,不再需要将其包含在 CRL 中。
数字证书申请
公共证书颁发机构必须遵守一组最低标准。大多数 Web 浏览器都配置为信任由浏览器或设备操作系统定义的预选 CA 列表。数字证书的验证通常在用户不知情的情况下迅速发生并在幕后发生。
网站使用数字证书建立 HTTPS 连接,其真实性由可信赖的证书颁发机构 (CA) 验证。这可能有助于用户验证他们看到的网站是合法的而不是欺诈性的。
数字证书还用于电子商务以保护敏感、可识别和财务数据。数字证书用于在线零售、贸易、银行和游戏。电子信用卡用户和零售商可以利用数字证书来保护金融交易。
电子邮件通信是数字证书的另一种典型用途。通常,电子邮件还可能包含数字签名,该数字签名使用散列算法传递加密通信。
在超连接的世界中,您无法避免遇到或使用数字证书。Let's Encrypt 等组织免费提供数字证书,为所有人创造更安全的在线体验。2022 年,Let's Encrypt 推出了第 30 亿个数字证书,表明该安全技术的普及和重要性。