白名单

白名单

“白名单”在SSL/TLS和PKI上下文中并非标准术语，不被RFC 5280、CA/B Forum Baseline Requirements或主流浏览器规范定义。它常被非技术用户误用于描述“受信任的根证书列表”，但实际由操作系统或浏览器内置的可信根存储（trust store）决定，而非可由网站管理员配置的“白名单”。该词易引发概念混淆，建议在HTTPS部署中使用标准术语如“信任链”“根证书颁发机构（Root CA）”或“可信根存储”。

产生混淆的主要原因是部分安全产品（如WAF、代理网关或私有PKI系统）引入了自定义访问控制机制，将特定域名、IP或证书指纹加入允许列表，称作“白名单”。但这属于应用层策略，与SSL/TLS协议本身无关。TLS握手阶段不涉及任何“白名单校验”；浏览器仅验证证书链是否可回溯至本地信任存储中的某个根证书，并检查域名匹配、有效期、吊销状态（OCSP/CRL）等RFC 6066和RFC 5280规定的强制项。

在实际HTTPS部署中，例如某企业使用内部CA签发证书，需将该CA根证书手动导入终端设备的信任存储，才能避免浏览器显示NET::ERR_CERT_AUTHORITY_INVALID。此时并无“白名单操作”，而是信任锚（trust anchor）的显式添加。类似地，Chrome/Firefox/Edge均不提供API供网站指定“哪些根证书应被信任”，该决策完全由客户端控制。Sectigo、Digicert等公开CA的根证书能被信任，是因为其已通过CA/B Forum审计并预置在各平台信任库中。

需要注意的情况

• “白名单”不是TLS协议术语，RFC文档中无对应定义；使用时应明确上下文（如WAF规则或私有PKI管理），避免与信任链概念混淆。
• 浏览器不支持网站端下发“白名单”指令；证书信任关系完全由客户端信任存储决定，服务端无法干预。
• 若需实现类似“仅允许特定证书访问”，应通过客户端证书认证（mTLS）配合服务端ACL实现，而非依赖所谓“白名单”机制。
• 国内部分监管系统提及的“SSL证书白名单”实为行政性准入清单（如《电子政务数字证书格式规范》要求的CA列表），属政策管理范畴，与TLS技术实现无关。