什么是 X.509 证书?
SSL/TLS X.509 证书是用于安全套接字层 (SSL) 或传输层安全性 (TLS) 的数字文件。 SSL/TLS证书是最流行的 X.509 证书类型之一,或者是使用 X.509 标准的公钥证书类型。 X.509 证书包含公钥和主机名、组织或个人的身份。
最初,证书有助于确认和验证主机或网站的身份。它包含验证主机或网站身份信息真实性的详细信息。因此,通过单击显示的挂锁或检查信任标记,证书链的详细信息可以告诉您证书颁发的来源。
此外,它还可以对通过网站传输的数据进行加密。通过在传输过程中对数据进行加密,通过网站共享的任何敏感信息都不会被除指定接收者之外的任何人拦截和解码。
当 SSL/TLS 证书由信誉良好的证书颁发机构(CA)授予时,其可信度会显着增强。此类机构受到有关接收 SSL 证书资格的严格法规和准则的约束。因此,拥有来自公认 CA 的有效 SSL 证书可以提高信任级别。证书颁发机构(CA)对证书的认可或其他认证机构的验证使证书持有者能够利用公钥与另一个实体建立安全连接,或对已使用匹配的数字签名的文档进行身份验证。私钥。 某些 X.509 SSL/TLS 证书是自签名的,面向公众的应用程序不会信任这些证书。因此,它们主要用于加密和验证组织网络内的数据。
SSL/TLS 证书是具有扩展密钥用法的 X.509 证书:服务器身份验证 (1.3.6.1.5.5.7.3.1)。 “扩展密钥用法”扩展列出了使用证书的实体的“角色”。换句话说,实体必须仅将 SSL/TLS 证书用于服务器身份验证,而不能用于其他用途。否则,该实体可能会违反颁发 CA 的政策。
还有其他常见类型的 X.509 证书,例如客户端身份验证 (1.3.6.1.5.5.7.3.2) 和代码签名 (1.3.6.1.5.5.7.3.3)。这些文件构成了加密和身份验证方案的基础。
X.509 证书如何工作?
由于 SSL/TLS 证书支持加密,因此它们是安全超文本传输协议 (HTTPS) 的组成部分,HTTPS 是一种对网站和浏览器之间交换的所有通信进行加密的协议。
- 一旦浏览器找到需要安全性的网页,HTTPS 就会启动
- 来自 Web 服务器的响应包括其公钥及其数字证书。
- 接下来,浏览器验证该证书是否由证书颁发机构 (CA) 签名。
- 验证成功后,浏览器使用服务器的公钥来隐藏随机选择的对称加密密钥,将其与 URL 和附加 HTTP 数据捆绑在一起(全部以加密形式),并将其转发到服务器。
- 如果公钥通过了真实性检查,服务器就会使用其私钥来解密对称加密密钥、URL 和 HTTP 数据,然后分派 HTML 内容和 HTTP 数据,现在两者都使用对称密钥进行保护。
- 最后,该对称密钥使浏览器能够解密 HTTP 数据,使其对用户可见。
如何检查站点是否有有效的安全连接?
缺乏 SSL/TLS 保护的典型网站会在浏览器地址栏中其 URL 开头显示“HTTP”,表示“超文本传输协议”,这是通过互联网发送数据的传统方法。相反,受 SSL 证书保护的网站将在其地址前加上“HTTPS”前缀,表示“安全超文本传输协议”。
每个浏览器显示安全连接的方式都略有不同。但对于所有这些,您可以通过在地址栏中查找“HTTPS”来检查您正在访问的网站是否正在使用 HTTPS。
某些浏览器还可能在网址旁边显示一个挂锁图标。单击此图标通常会显示持有 SSL/TLS 证书的实体的名称。如果您的浏览器识别出EV SSL 证书,则该图标将变为绿色。如果信息不匹配或证书已过期,浏览器将显示警告或错误通知。此外,浏览器将所有 HTTP 站点标记为不安全已变得很常见。
如果证书已过期,Web 浏览器将显示错误消息或警告。这些警报可能会导致访问者离开网站。为了防止这种情况发生,拥有网站并使用 HTTPS 的组织需要管理其证书并确保他们想要保留的证书不会过期。