CA是干什么的?
CA(Certificate Authority,证书颁发机构)是PKI体系中受全球操作系统和浏览器信任的第三方权威实体,核心职责是验证网站/组织身份并签发数字证书。它不直接加密数据,而是通过严格验证后为合法主体绑定公钥与身份,使浏览器能确认“这个域名确实属于这家机构”,从而建立可信的HTTPS加密通道。
该问题聚焦于CA的本质职能,而非SSL证书部署或浏览器行为。
CA的核心技术职能
身份核验:从域名控制到企业背书
CA对不同等级证书执行差异化验证。DV证书仅需验证域名控制权(如DNS解析、HTTP文件或邮箱),通常5分钟内完成;OV证书要求提交营业执照、工商信息等材料,由人工+系统交叉核验,耗时1–3个工作日;EV证书则需实地尽调+法律文件审查,验证强度最高。所有流程均遵循CA/Browser Forum Baseline Requirements强制规范。
证书签发与密钥绑定
CA使用自身私钥对申请者公钥、域名、有效期等信息进行数字签名,生成X.509格式证书。该签名构成信任链起点——浏览器内置CA根证书可验证其真实性。若私钥泄露或验证失效,CA必须立即吊销证书(通过CRL或OCSP响应),否则将触发全网信任危机。
信任锚点管理
主流浏览器(Chrome/Firefox/Safari)和操作系统(Windows/macOS/iOS)预置约100个根CA证书。CA若想被广泛信任,必须通过WebTrust审计,并持续满足CT日志(Certificate Transparency)强制记录要求。2026年起,未进入CT日志的证书将被Chrome 128+版本拒绝信任。
工程实践中的关键限制
CA不是万能服务方。例如:Let’s Encrypt不支持通配符证书的DNS-01验证在内网DNS环境生效;国产CA(如CFCA、华测)签发的SM2国密证书,在Chrome 120以下版本默认不识别;锐安信sslTrus的国产根证书虽已入Windows信任库,但部分老旧Android设备仍需手动安装中间证书。这些限制直接影响SSL证书部署成功率。
CA信任链结构与常见问题
| 指标 | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 根证书更新周期 | CA/B Forum BR 1.8.1 要求每25年轮换 | 企业应订阅CA安全通告,避免因根过期导致全站HTTPS中断(如2024年DigiCert DST Root CA X3退役事件) |
| 证书链完整性 | RFC 5280 规定必须包含全部中间证书 | Nginx/Apache配置时需合并crt文件,遗漏中间证书将致iOS Safari显示“此连接不安全” |
| 吊销检查机制 | CA必须同时支持CRL与OCSP Stapling | 生产环境务必启用OCSP Stapling,避免客户端直连CA服务器造成TLS握手延迟超2s |
常见问题
Q:CA能帮我修复网站被黑吗?
A:不能。CA只负责身份认证与证书签发,不提供服务器安全加固、漏洞修复或WAF防护服务。网站被黑需溯源入侵路径,证书本身无法阻止SQL注入或文件上传漏洞。
Q:自建CA签发的证书能用于公网网站吗?
A:不能。浏览器仅信任预置根证书列表中的CA。自建CA仅适用于内网测试环境,公网部署必须使用商业CA(如Sectigo、Digicert)或公开CA(如Let's Encrypt)签发的证书。
Q:CA倒闭了,我的证书还能用吗?
A:已签发且未吊销的证书在有效期内仍可使用,但无法续期。2017年StartCom被收购后,其旧证书在Chrome 61+逐步失去信任,印证了CA持续运营能力对证书生命周期的关键影响。
京公网安备11010502031690号
网站经营企业工商营业执照
