SSL/TLS 验证
SSL/TLS 验证是指客户端(如浏览器、curl、移动 App)在建立 HTTPS 连接时,对服务器提供的 ssl证书 执行的一系列可信性检查,核心包括:证书链完整性、签名有效性、域名匹配(Subject Alternative Name)、有效期、吊销状态(OCSP/CRL)以及颁发机构(CA)是否受信任。
验证过程严格遵循 RFC 5280 和 TLS 1.2/1.3 协议规范。现代浏览器(Chrome、Firefox、Safari)默认只信任操作系统或自身内置的根证书存储(Root Store)中的 CA;若证书由未被信任的 CA 签发(如私有 CA 或自签名),将触发“NET::ERR_CERT_AUTHORITY_INVALID”等错误。证书链必须能向上追溯至一个受信根证书,中间证书缺失会导致“ERR_SSL_UNRECOGNIZED_NAME_ALERT”或握手失败。
域名验证(DV)仅确认申请者对域名的控制权,不验证组织实体;而 OV SSL证书 和 EV SSL证书 在此基础上要求人工核验企业注册信息,提升身份可信度。国密算法环境(SM2/SM3/SM4)下,验证逻辑相同,但需客户端支持国密套件及 国密SSL证书 根信任库(如华测国密CA、vTrus(天威诚信))。
需要注意的情况
- Let’s Encrypt 等公共 CA 的证书虽免费且广泛信任,但其根证书 ISRG Root X1 的交叉签名已于 2024 年 9 月到期,老旧系统(如 Windows XP、部分嵌入式设备)可能因缺少 ISRG Root X2 而验证失败。
- 使用自建 PKI 或私有 CA 时,必须手动将根证书导入客户端信任库,否则无法通过验证——这在企业内网或 IoT 设备中常见,但不符合公网部署标准。
- OCSP Stapling 若未启用,客户端可能发起实时 OCSP 查询;若 CA OCSP 响应不可达(如防火墙拦截、网络超时),部分严格策略浏览器(如 Safari)会直接拒绝连接(硬失败),而 Chrome 默认软失败(soft-fail)。
京公网安备11010502031690号
网站经营企业工商营业执照
