什么是數(shù)字證書?數(shù)字證書如何運(yùn)作?

數(shù)字證書被定義為數(shù)字文檔，它證明用于加密在線資產(chǎn)(即電子郵件通信、文檔、網(wǎng)站或軟件應(yīng)用程序)的公鑰的真實(shí)性。本文解釋了數(shù)字證書的工作原理、您可以使用的不同類型以及使用數(shù)字證書的好處和挑戰(zhàn)。

什么是數(shù)字證書?

數(shù)字證書是一種數(shù)字文檔，證明用于加密在線資產(chǎn)(即電子郵件通信、文檔、網(wǎng)站或軟件應(yīng)用程序)的公鑰的真實(shí)性。

數(shù)字證書也稱為身份證書和公鑰證書，是一種利用公鑰基礎(chǔ)設(shè)施 (PKI) 并使個(gè)人和企業(yè)能夠通過互聯(lián)網(wǎng)安全地共享數(shù)據(jù)的電子密碼。

數(shù)字證書使用密碼學(xué)和公鑰驗(yàn)證站點(diǎn)、計(jì)算機(jī)或個(gè)人的身份，保證只有授權(quán)的設(shè)備才能連接到組織的網(wǎng)絡(luò)。人們還可以使用它們來驗(yàn)證網(wǎng)站對(duì)互聯(lián)網(wǎng)瀏覽器的有效性。網(wǎng)站、組織或個(gè)人可能會(huì)尋求數(shù)字證書，該證書必須由公眾信任的證書頒發(fā)機(jī)構(gòu) (CA) 進(jìn)行驗(yàn)證。

互聯(lián)網(wǎng)對(duì)話、數(shù)據(jù)和網(wǎng)站可以使用數(shù)字證書來保護(hù)。數(shù)字證書存在某些可能可利用的缺陷;但是，受此類公鑰認(rèn)證保護(hù)的網(wǎng)站被認(rèn)為比未受此類認(rèn)證的網(wǎng)站更值得信賴。

數(shù)字證書包含以下可識(shí)別信息：

用戶名

用戶所屬部門或公司

與設(shè)備關(guān)聯(lián)的互聯(lián)網(wǎng)協(xié)議 (IP) 地址或序列號(hào)

從證書持有者處獲得的公鑰副本

證書有效期

證書被授權(quán)代表的域

數(shù)字證書與數(shù)字簽名

數(shù)字證書驗(yàn)證用戶或設(shè)備的真實(shí)性并允許加密通信。數(shù)字簽名是一種散列技術(shù)，它使用一串?dāng)?shù)字來確定真實(shí)性和驗(yàn)證身份。通常，文檔或電子郵件僅使用加密密鑰附加數(shù)字簽名。簽名經(jīng)過哈希處理，接收方在收到消息后使用相同的哈希算法對(duì)消息進(jìn)行解碼。

數(shù)字證書如何運(yùn)作?

他們從根證書頒發(fā)機(jī)構(gòu)開始，這是一個(gè)受信任的組織，頒發(fā)證明發(fā)件人身份的證書。任何人都可以通過認(rèn)證機(jī)構(gòu)的公鑰檢查簽名。

該公鑰來自哪里?可信機(jī)構(gòu)的公鑰與瀏覽器和其他互聯(lián)網(wǎng)軟件應(yīng)用程序集成;因此，它們應(yīng)該出現(xiàn)在所有當(dāng)前的計(jì)算機(jī)上。

該證書包含有關(guān)公鑰基礎(chǔ)設(shè)施 (PKI) 的信息，包括一對(duì)私鑰和公鑰。當(dāng)在 Web 服務(wù)器上實(shí)施時(shí)，它可能會(huì)向?yàn)g覽器的訪問者提供您的公鑰和您的站點(diǎn)支持的對(duì)稱密碼列表。瀏覽器可能會(huì)使用此公鑰來傳輸包含對(duì)稱密鑰的加密消息，該對(duì)稱密鑰將在會(huì)話期間加密您與訪問者瀏覽器之間的通信。

您還可以在證書中包含公鑰以驗(yàn)證您的組織分發(fā)的軟件，以便從 Web 下載它的任何人都可以驗(yàn)證它沒有被更改或被惡意軟件感染。由于認(rèn)證機(jī)構(gòu)簽署證書，任何人都可以驗(yàn)證其真實(shí)性。

證書有固定的生命周期，通常是一年或兩年，之后它們就會(huì)失效。一些人聲稱它們會(huì)過期，因此所有者必須購買額外的證書，但有不同的解釋。吊銷證書時(shí)，其信息會(huì)上傳到證書吊銷列表 (CRL)，客戶端軟件會(huì)在接受之前對(duì)其進(jìn)行檢查。 認(rèn)證到期日防止 CRL 變得太長;當(dāng)撤銷的證書失效時(shí)，不再需要將其包含在 CRL 中。

數(shù)字證書申請(qǐng)

公共證書頒發(fā)機(jī)構(gòu)必須遵守一組最低標(biāo)準(zhǔn)。大多數(shù) Web 瀏覽器都配置為信任由瀏覽器或設(shè)備操作系統(tǒng)定義的預(yù)選 CA 列表。數(shù)字證書的驗(yàn)證通常在用戶不知情的情況下迅速發(fā)生并在幕后發(fā)生。

網(wǎng)站使用數(shù)字證書建立 HTTPS 連接，其真實(shí)性由可信賴的證書頒發(fā)機(jī)構(gòu) (CA) 驗(yàn)證。這可能有助于用戶驗(yàn)證他們看到的網(wǎng)站是合法的而不是欺詐性的。

數(shù)字證書還用于電子商務(wù)以保護(hù)敏感、可識(shí)別和財(cái)務(wù)數(shù)據(jù)。數(shù)字證書用于在線零售、貿(mào)易、銀行和游戲。電子信用卡用戶和零售商可以利用數(shù)字證書來保護(hù)金融交易。

電子郵件通信是數(shù)字證書的另一種典型用途。通常，電子郵件還可能包含數(shù)字簽名，該數(shù)字簽名使用散列算法傳遞加密通信。

在超連接的世界中，您無法避免遇到或使用數(shù)字證書。Let's Encrypt 等組織免費(fèi)提供數(shù)字證書，為所有人創(chuàng)造更安全的在線體驗(yàn)。2022 年，Let's Encrypt 推出了第 30 億個(gè)數(shù)字證書，表明該安全技術(shù)的普及和重要性。