CA是干什么的?
CA(Certificate Authority,证书颁发机构)可以理解为互联网里的“认证中心”。
它的主要工作是验证网站或企业身份,并签发SSL证书,让浏览器能够确认:
这个网站确实属于它所声明的公司或组织。
当用户访问HTTPS网站时,浏览器之所以信任网站证书,本质上就是因为信任背后的CA机构。
简单来说:
- 网站负责申请证书
- CA负责审核身份
- 浏览器负责验证信任
三者共同构成HTTPS安全体系。
常见CA机构有哪些
常见的CA有以下
| CA机构 | 国家/地区 | 主要产品 |
|---|---|---|
| DigiCert | 美国 | SSL证书、代码签名 |
| Sectigo | 美国 | DV、OV、EV证书 |
| GlobalSign | 日本/国际 | 企业级SSL证书 |
| Let's Encrypt | 国际公益CA | 免费SSL证书 |
| CFCA | 中国 | 金融行业证书 |
| WoTrus | 中国 | 国密SSL证书 |
CA和SSL证书有什么区别?
| 项目 | CA | SSL证书 |
|---|---|---|
| 本质 | 签发机构 | 安全证书 |
| 作用 | 审核身份 | 建立HTTPS |
| 类比 | 共案局 | 身份证 |
CA的核心技术职能
身份核验:从域名控制到企业背书
CA对不同等级证书执行差异化验证。
- DV证书仅需验证域名控制权(如DNS解析、HTTP文件或邮箱),通常5分钟内完成;
- OV证书要求提交营业执照、工商信息等材料,由人工+系统交叉核验,耗时1–3个工作日;
- EV证书则需实地尽调+法律文件审查,验证强度最高。
证书签发与密钥绑定
CA使用自身私钥对申请者公钥、域名、有效期等信息进行数字签名,生成X.509格式证书。
该签名构成信任链起点——浏览器内置CA根证书可验证其真实性。
若私钥泄露或验证失效,CA必须立即吊销证书(通过CRL或OCSP响应),否则将触发全网信任危机。
信任锚点管理
浏览器和操作系统预置约100个根CA证书。
CA若想被广泛信任,必须通过WebTrust审计,并持续满足CT日志强制记录要求。
常见问题
CA能帮我修复网站被黑吗?
不能。
CA只负责身份认证与证书签发,不提供服务器安全加固、漏洞修复或WAF防护服务。网站被黑需溯源入侵路径,证书本身无法阻止SQL注入或文件上传漏洞。
自建CA签发的证书能用于公网网站吗?
不能。
浏览器仅信任预置根证书列表中的CA。自建CA仅适用于内网测试环境,公网部署必须使用商业CA(如SectigoDigicert)或公开CA(如Let's Encrypt)签发的证书。
CA倒闭了,我的证书还能用吗?
已签发且未吊销的证书在有效期内仍可使用,但无法续期。
2017年StartCom被收购后,其旧证书在Chrome 61+逐步失去信任,印证了CA持续运营能力对证书生命周期的关键影响。
京公网安备11010502031690号
网站经营企业工商营业执照
