如果你正在了解SSL證書基本知識或者申請SSL證書前面幾分鐘,那這篇文章更好的幫助你。我將以最簡單的方式來讓你快速了解SSL證書,更好地掌握SSL證書的秘密。
SSL證書鏈
SSL證書結構由:CA根證書——中間證書——網站(伺服器)證書,組成SSL證書信任鏈。
CA根證書是指真正的頒發機構,也就是信任原,如果該證書不在瀏覽器或者作業系統信任範圍,那麼將該證書就不作為信任證書。
中間證書,是由CA機構頒發信任的,區分為兩種:
一種是完全是CA官方自己的中間證書,除非CA機構倒閉,那麼你一直會存在。
另一種是給第三方提供的中間證書服務,所以中間證書會有另一個公司的名稱。
這是CA機構提供的一項服務,可以買幾年中間證書(通常一年)這樣中間證書可以自己頒發證書,也有一次性充值多少錢然後循環使用,並且擁有自己獨立品牌。這類證書風險就是,如果中間證書不斷的濫發或者出了紕漏,就會被吊銷。
CA機構是否會有影響?如果授權中間品牌機構發生問題,會直接影響根證書。我們只能祈禱部分CA機構少發有些這種規則的證書吧。
被懲罰的CA機構,賽門鐵克(Symantec)就是其中之一,這篇文章可以幫到你免費SSL證書那些事
SSL證書信任度
SSL證書是否被信任,是由瀏覽器、作業系統、CA機構等組成的一個叫CA/B論壇組成討論。但不代表在CA/B的CA機構就完全被瀏覽器信任。
無論是作業系統還是瀏覽器開發商,他們都有一個相同點,不同的時間開發出不同版本的軟體。
所以CA機構的成立根證書的時間非常重要,會直接影響證書的信任度。
我們不能確保世界的所有人使用同一款或者最新的瀏覽器與作業系統。比如被淘汰的微軟在2001年10月25日發行:Windows XP作業系統,使用的原始2001年10月25日發行的:IE6.0瀏覽器。我們不能否認,還有人正在使用,並且主要用於辦公。
所以我們希望選擇更早發行的CA機構根證書(如圖),意味著他可以信任1998年後的所有作業系統與瀏覽器。
如果選擇2010年的CA根證書那會成功的遠離這些作業系統的信任。
CA機構根證書同樣有到期時間,如果到期就會導致很多瀏覽器不信任,比如:
Sectigo(Comodo)2020年5月30日AddTrust根到期導致部分作業系統不信任
總結
儘量選擇官方CA根證書成立時間早的,因為他會信任更多的瀏覽器與作業系統,避免了用戶流量損失。
最後:在這裡每天都會有SSL證書乾貨,歡迎訂閱關注。