行业新闻与博客

在线建立信任是数字时代协作的重要组成部分。从使用第三方供应商到在线购物，再到通过电子邮件进行沟通，公司和个人都依赖这种信任来开展业务。他们如何知道自己正在与正确的人通信，而不是网络钓鱼计划背后的参与者？

证书颁发机构 (CA) 在实现这一目标方面发挥着至关重要的作用。CA 遵循严格的行业标准，验证身份并颁发数字证书。以下是有关 CA 是什么、其重要性以及当今可用的不同类型 CA 的指南。

什么是证书颁发机构 (CA)？

证书确保系统是其所声称的那样，但系统还必须确保证书本身是真实的。这就是值得信赖的第三方发挥作用的地方。证书颁发机构是颁发和担保证书的独立机构。

作为公钥基础设施 (PKI) 的重要组成部分，CA 创建数字证书，以加密方式将公钥与所有者的身份链接起来。CA 负责验证与给定公钥关联的实体的身份，并颁发证明该身份的数字证书。CA 在颁发证书之前遵循特定协议来验证请求者的身份。该协议涉及检查官方文件或执行背景调查。

CA 还具有撤销证书的机制。当与证书关联的密钥被泄露或者颁发证书的实体不再存在时，就会发生吊销。

证书颁发机构的重要性

CA 在确保互联网安全方面发挥着至关重要的作用。证书可以保护数字签名并通过 HTTPS 等协议建立安全的网络连接。 

以下是 CA 在数字世界中至关重要的一些主要原因：

• 建立信任。 CA 提供了互联网信任的基础。例如，当用户连接到网站时，如果该网站具有受信任 CA 颁发的有效证书，则浏览器会信任该网站。如果没有这种机制，从未交往过的两方之间很难建立信任。
• 验证身份。证书颁发需要验证请求者的身份。这可确保请求证书的实体是其声称的实体。
• 防止数据被盗。使用证书建立的安全连接有助于防止未经授权的数据访问。当数据通过安全连接发送时，即使不良行为者成功拦截数据，加密也会使其无法读取。
• 防止诈骗。CA 帮助保护用户免受网络钓鱼攻击和其他诈骗。当用户浏览网站时，如果该网站具有有效证书，他们可以确信该网站是合法的，而不是为了窃取个人信息而构建的恶意模仿网站。
• 吊销证书。如果证书颁发不正确或私钥被泄露，CA 可以撤销该证书并阻止进一步使用。

不同类型的证书颁发机构

每种类型的 CA 及其颁发的证书都有优点和缺点。组织需要根据其目标、行业法规和所需的信任级别来考虑哪种方案最好。 

下面，我们根据功能、权限、产品和层次结构来区分 CA 的类型，以便更清楚地解释每种类型证书的优缺点。

按功能分类

• 域验证 (DV) CA。DV 证书更简单，需要的检查也不太严格。DV CA 在仅验证所请求证书的域的所有权或控制权后颁发证书。DV 证书通常更便宜且更容易获得，但信任度较低，因为它们不包含拥有该域的组织的身份。
• 组织验证 (OV) CA。OV CA 比 DV CA 更进一步，除了域所有权之外，还验证组织详细信息，例如名称、合法存在和物理位置。OV 证书比 DV 证书提供更高级别的信任，因为它们将域与特定组织相关联。然而，它们更昂贵并且发行时间更长。
• 自签名 CA。 自签名证书不是由公认的 CA 颁发的。相反，将使用它的实体生成并签名它，这意味着没有对证书信息的外部验证。因此，自签名证书通常不受 Web 浏览器或其他软件的信任，并且当用户遇到它们时它们会生成警告。虽然它们在测试或内部用例中很有用，但它们不适合安全的公共互联网通信。
• 扩展验证 (EV) CA。 EV 证书需要最严格的验证流程。除了验证域所有权和组织详细信息之外，EV CA 还验证组织的物理和运营存在、请求者的身份和权限以及组织请求 EV 证书的政策和程序。EV 证书具有最高的信任度，经常被企业和金融机构使用。虽然它们的获取成本最高且最耗时，但对于希望与用户建立最高级别信任的实体来说很有价值。

按权威划分的类型

• 公共 CA。公共 CA（也称为根 CA）为面向公众的软件和服务器颁发数字证书，用于互联网上的安全通信。公共 CA 受到浏览器和操作系统供应商的信任，其根证书嵌入在 Web 浏览器和操作系统中。他们遵循严格的协议和法规来验证实体身份，具体取决于所请求的证书类型。
• 私有 / 内部 CA。 私有或内部 CA 在组织内用于颁发供内部使用的证书。他们通常在组织外部不受信任。

按产品分类

• 政府 CA。 政府机构通常建立政府 CA 来为政府实体颁发证书，在某些情况下还为一个国家内的公民和企业颁发证书。他们通常遵守相关政府法规规定的严格身份验证程序和政策。美国联邦公钥基础设施 (FPKI) 就是一个例子。
• 商业 CA。 商业 CA 向公众提供证书服务。他们提供各种证书类型，包括 DV、OV 和 EV 证书，以保护网站、实现安全电子邮件通信、对用户进行身份验证等。像 Sectigo 这样的商业 CA 提供强大的客户支持、各种通配符和多域证书以及更长的证书生命周期。
• 开源 CA。 开源 CA 使用开源软件和原则提供证书。通常，他们的基本服务是免费使用的，而且他们的底层软件是开源的，公众可以检查并做出贡献。最显着的例子是 Let's Encrypt，这是一个由互联网安全研究小组运营的非营利 CA。然而，他们只提供 DV 证书，这种证书的信任度较低，而且寿命通常较短。

层次结构 CA

• 颁发 CA。颁发 CA 的真实性并不由操作系统直接识别，而是由中间 CA 验证。如果中间 CA 能够成功对其进行身份验证，则颁发 CA 提供的任何证书都被视为可靠。
• 中级 CA。 在分层 PKI 中，中间 CA 位于根（或公共）CA 和颁发 CA 之间。它们由根 CA 颁发证书，然后可以使用该证书直接向中间 CA 或最终实体颁发证书。