证书颁发机构(CA)

什么是CA?

证书颁发机构(CA: Certificate Authority)是颁发符合ITU-T公钥基础设施(Public Key Infrastructures = PKI) X.509标准的数字证书的实体。数字证书证明证书所有者(称为主题)的公钥,并证明该所有者控制由证书保护的域。因此,CA充当受信任的第三方,向客户端(称为依赖方)保证它们连接到由经过验证的实体操作的服务器。

终端实体证书本身通过源于根证书的信任链chain-of-trust(也称为信任锚)进行验证。使用非对称加密技术,可以使用根证书的私钥对其他证书进行签名,然后可以使用根证书的公钥对其他证书进行验证,从而继承颁发CA的信任。终端实体证书通常由一个或多个中间证书(有时称为从属subordinator或子CA sub-CAs)签名,因为这样可以在终端实体证书被错误颁发或泄露的情况下保护根证书。

根证书信任通常是通过在操作系统或浏览器中物理分发根证书来建立的。主要的认证程序由微软(Windows和Windows Phone),苹果(OSX和iOS)和Mozilla (Firefox和Linux)运行,并要求ca符合严格的技术要求,并完成WebTrust, ETSI EN 319 411-3(以前的TS 102 042)或ISO 21188:2006审计,以便包含在其发行版中。WebTrust是由美国注册会计师协会和加拿大特许会计师协会开发的一个项目,ETSI是欧洲电信标准协会,而ISO是国际标准组织。

与主要操作系统和浏览器一起分发的根证书被认为是公开或全球可信的,技术和审计要求本质上意味着颁发ca的是跨国公司或政府。目前大约有50个公开可信的CA,尽管大多数/所有CA都有不止一个根证书,而且大多数CA/浏览器论坛的成员,该论坛制定了颁发和管理证书的行业指南。

但是,也可以通过在客户机系统上安全分发和安装根证书来建立私有CA和信任。例如,由Regional Internet Registries区域互联网注册管理机构(AfriNIC、APNIC、ARIN、LACNIC和RIPE NCC)运营的RPKI CAs向Local Internet Registries本地互联网注册管理机构颁发证书,证明其持有的IP地址和AS numbers;以及国际网格信任联盟(International Grid Trust Federation=IGTF),该联盟为分发分布式科学计算中机器使用的服务器和客户端证书提供信任锚。在这些情况下,可以使用由公开信任的CA颁发的证书从站点安全地下载和安装根证书。

X.509 PKI系统的一个弱点是,第三方(CAs)能够为任何域颁发证书,无论请求实体是否实际拥有或以其他方式控制该域domain。验证通常是通过domain validation域验证来执行的——即发送带有身份验证链接的电子邮件到一个已知的管理上负责该域的地址。这通常是标准联系地址之一,如' hostmaster@domain '或WHOIS数据库中列出的技术联系人,但这使其对DNS或BGP协议的中间人攻击敞开了方便之门,或者更简单地说,用户在未保留的域上注册管理地址。也许更重要的是,域验证(Domain Validated, DV)证书并不断言域与法律实体有任何关系,即使域可能看起来与法律实体有关系。

因此,核证机关越来越鼓励使用组织验证(Organisation Validated=OV)和扩展验证( Extended Validation=EV)证书。申请OV证书的实体须接受额外的检查,例如使用公共数据库确认机构名称、地址和电话号码。对于EV证书,还需要对法律机构、物理位置和声称代表请求实体行事的个人的身份进行额外检查。

当然,这仍然不能防止CAs意外地或欺诈性地颁发不正确的证书,并且还存在CA被欺骗颁发假证书的安全破坏事件。尽管在几起引人注目的事件之后,安全程序大幅收紧,但该系统仍然依赖于第三方信任,这导致了RFCs 6698、7671、7672和7673中规定的基于DNS的命名实体认证(DNS-based Authentication of Named Entities=DANE)协议的发展。

使用DANE,域管理员可以将公钥存储在DNS中,或者指定客户端应该接受哪些证书,从而对公钥进行认证。这需要使用DNSSEC,它以加密方式断言DNS记录的有效性,尽管DNSSEC尚未得到广泛部署,并且主要浏览器目前需要安装附加组件以支持DANE。此外,DNSSEC和DANE仍将要求对域名持有人进行验证,这可能必须由domain registries域名注册和/或domain registrars注册商而不是CAs来承担。

参考

internetsociety.org/deploy360/tls

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,468评论 5 473
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,620评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,427评论 0 334
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,160评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,197评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,334评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,775评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,444评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,628评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,459评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,508评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,210评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,767评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,850评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,076评论 1 258
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,627评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,196评论 2 341

推荐阅读更多精彩内容