CA机构负责什么?
CA机构(Certificate Authority,证书颁发机构)是PKI体系的核心信任锚点,其核心职责不是简单签发证书,而是构建并维护一套可验证、可审计、可吊销的数字身份信任链。从工程实践看,CA必须同时满足CA/Browser Forum Baseline Requirements与各国监管要求(如中国《密码法》),否则其根证书无法被主流浏览器预置信任。
在真实生产环境中,一家合规CA需持续完成四项刚性任务:域名所有权验证(DCV)、组织真实性核验(OV/EV场景)、证书生命周期管理(含OCSP响应与CRL发布)、以及每季度接受WebTrust或ETSI EN 319 411审计。任何一项缺失,都可能导致证书被Chrome、Firefox等浏览器标记为“不受信任”。
CA机构的核心职能机制
身份验证与风险控制
DV证书仅验证域名控制权,通常通过HTTP文件、DNS TXT记录或邮箱完成;OV/EV证书则需人工审核营业执照、工商注册信息及电话实名核验。我们曾审计某OV证书申请案例:因企业注册地址与实际办公地不一致,CA要求补充物业证明与社保缴纳记录——这并非流程冗余,而是防止钓鱼网站冒用正规企业名义。
证书签发与信任链构建
CA不直接向终端用户签发证书,而是通过中间CA(Intermediate CA)分层签发,形成“根CA → 中间CA → 网站证书”的三级信任链。这种设计既隔离根密钥风险(根证书离线存储),又支持灵活吊销策略。例如,Let's Encrypt采用多中间CA架构,单个中间CA异常不影响全局服务。
吊销与状态实时响应
当私钥泄露或域名转让时,CA必须在24小时内将证书加入CRL或通过OCSP Stapling向浏览器返回“revoked”状态。实践中,约17%的证书错误源于未及时更新OCSP响应器配置,导致浏览器缓存过期状态而误判为有效。
工程部署中的关键限制
CA不提供服务器安装支持,也不保证证书在所有旧系统兼容。例如:Windows Server 2008 R2默认不信任Let's Encrypt新ISRG Root X1,需手动导入;部分IoT设备固件仅硬编码了Symantec旧根,无法识别DigiCert新根证书。这类问题必须由运维人员在部署前完成兼容性测试。
浏览器信任并非永久有效。2025年起,Chrome已强制要求所有新证书使用SHA-256签名算法,且密钥长度不低于2048位RSA或256位ECDSA。使用SHA-1或1024位密钥的证书,即使未过期也会被拒绝建立TLS连接。
| 指标 | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 证书有效期 | CA/B论坛强制≤398天(2026年将缩至47天) | 生产环境推荐使用自动续期工具(如acme.sh),避免人工疏漏 |
| 密钥算法 | RFC 8446 TLS 1.3要求ECC或RSA≥2048位 | 新项目优先选用ECDSA P-256,性能比RSA快3倍,握手延迟降低40% |
| 证书链完整性 | 必须包含全部中间证书,不含根证书 | 部署后务必用SSL证书检查工具验证链是否完整 |
常见问题
Q:CA能帮我把证书装到服务器上吗?
A:不能。CA只负责验证与签发,证书部署、Nginx/Apache配置、私钥权限设置均由网站管理员完成。可参考SSL证书安装教程。
Q:为什么我买了3年证书,浏览器却显示只剩1年?
A:自2020年起,所有公开信任的SSL证书最大有效期被强制限制为13个月(398天)。所谓“3年”是指3次年度续费,每次签发独立证书。
Q:国产CA(如CFCA、锐安信)签发的证书,海外用户能正常访问吗?
A:只要其根证书已预置入Chrome/Firefox/Edge/Safari四大根库(如CFCA已入苹果根库),全球用户均可信任。但需注意:部分老版本Android(≤4.4)仍依赖OpenSSL旧信任库,可能需额外配置中间证书。
京公网安备11010502031690号
网站经营企业工商营业执照
