CA的主要职责包括哪些工作?
CA(Certificate Authority,证书颁发机构)的核心职责是构建并维护互联网信任体系的基石。
它不单纯是“发证单位”,而是承担身份核验、密钥生命周期管理、证书吊销响应与信任锚点分发等关键职能。
当浏览器访问HTTPS网站时,之所以能够信任该网站的SSL证书,背后依赖的正是CA机构建立的信任体系。
CA到底是做什么的?
身份验证与证书签发
CA必须对申请者执行分级验证:
DV证书仅需域控验证(DCV),通过DNS TXT记录、HTTP文件或邮箱完成;
OV/EV证书则强制要求组织真实性核验——需调用国家企业信用信息公示系统、邓白氏编码库或第三方商业数据库交叉比对,并辅以人工电话回访。
我们曾审计某金融客户EV证书申请,CA在48小时内完成3次不同号码的语音验证及年报数据比对,而且会全程留痕可追溯。
证书链管理与信任锚分发
CA自身不直接向终端用户签发证书,而是通过中间CA分层签发,形成完整证书链。
根证书被预置在操作系统/浏览器信任库中,如Windows Trusted Root Program或Mozilla CA Certificate Program。
一旦根证书私钥泄露或策略违规,将触发整个信任链失效——根证书是整个信任体系的基础,因此CA机构会对根证书进行严格保护和管理。
吊销机制与实时状态响应
CA必须提供两种吊销状态查询通道:
- CRL(证书吊销列表)
- OCSP(在线证书状态协议)。
实际工作中部署强烈推荐OCSP Stapling,因为传统OCSP需客户端直连CA服务器,存在隐私泄露与延迟风险。
我们在某政务云项目中发现,未启用Stapling导致TLS握手可能增加额外网络请求和连接延迟,且部分国产浏览器因OCSP超时直接拒绝连接。
合规审计与透明日志(CT Log)
自2018年起,所有公开信任的SSL证书必须记录至Certificate Transparency日志,CA需每日向多个独立CT日志服务器提交证书哈希。
这是防止恶意签发的关键防线。
注意:目前主流公开信任SSL证书均需要提交至CT日志系统,以提高证书签发透明度。
CA的职责总结
| CA职责 | 作用 |
|---|---|
| 身份验证 | 核实申请人身份 |
| 签发证书 | 为网站生成SSL证书 |
| 管理证书链 | 维护浏览器信任体系 |
| 证书吊销 | 发现风险后撤销证书 |
| 安全审计 | 遵守行业规范 |
常见CA机构有哪些?
DigiCert(全球市场老牌巨头)
全球顶级数字证书颁发机构。旗下全资控股了原 Symantec(赛门铁克)、Geotrust 以及旗舰品牌 Secure Site系列产品线。
适用跨国商业银行、世界500强企业、大型跨境电商平台及核心 SaaS 系统的首选。
Sectigo(原 Comodo,高性价比之王)
签发量极大的商业数字证书颁发机构之一。
适用中小企业官网、互联网创业项目、多子域名管理或预算有限但需要权威机构背书的商业站点。
GlobalSign(日资背景的传统老牌 CA)
源自欧洲、现属于日本 GMO 互联网集团旗下的CA。
扎根中国及亚太市场,其对对公实名审核流程对中文企业环境非常友好,签发速度在同级别大牌中名列前茅。
CFCA(中国金融认证中心,国家级金融合规标配)
经国家密码管理局和工信部批准设立的国家级权威电子认证机构。
国内纯自主审计的顶级 CA。其全球根证书已正式内置于微软、谷歌、苹果、火狐等全球主流根证书信任列表,同时其国密(SM2)产品完全符合国家密码法与密评要求,具备金融级的物理安全防护。
WoTrus(沃通,国产国密及双证书先行者)
国内著名的数字证书服务商品牌。
在国密(SM2)算法证书领域,率先在国内推行“SM2/RSA双证书部署”方案。既能让网站通过红莲花、360等国产浏览器满足“密评”合规要求,又能完美兼容 Chrome 等外资浏览器。
常见问题
CA是否可以签发IP地址SSL证书?
可以,但仅限于内网IP或特定场景。
部分CA机构已经开始支持IP地址SSL证书签发,但具体支持范围和验证要求因机构而异。而国产CA如华测、CFCA提供符合国密标准的IP证书,需单独申请内网IP地址申请SSL证书并配置HTTPS教程
浏览器不信任某CA签发的证书,一定是CA有问题吗?
不一定。
常见原因为根证书未预置如
- 新成立的国产CA)
- 证书链未正确部署
- 系统时间错误
- 本地安全策略拦截
建议先用SSL证书验证方法定位问题层级。
CA能否撤销已签发但未吊销的证书?
不能。证书一旦签发即不可逆。
京公网安备11010502031690号
网站经营企业工商营业执照
