使用者:Xhqwizsi4199/證書頒發機構

證書頒發機構或數字證書認證機構（英語：Certificate Authority，縮寫為CA）是指密碼學中頒發數字證書的實體。數字證書通過證書的指定擁有者的身份(也稱作"subject")來證明了公鑰的所有權。這允許其他人（依賴方）依賴簽名或斷言經認證的公鑰與私鑰相對應。CA充當Trusted_third_party（英語：Trusted_third_party），受證書的主體（所有者）和依賴證書的一方信任。這些證書的格式由X.509標準指定。

證書頒發機構的一個特別常見的用途是簽署HTTPS中使用的證書，這是萬維網的安全瀏覽協議。另一個常見用途是由國家政府簽發身份證時用於電子簽名文件。

數字證書認證機構（英語：Certificate Authority，縮寫為CA），也稱為電子商務認證中心、電子商務認證授權機構，是負責發放和管理數字證書的權威機構，並作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。

介紹[編輯]

可信證書可用於通過Internet創建與服務器的安全連接。一個證書是必要的，為了規避恰好位於到目標服務器的路由上的惡意行為。這種常被稱為中間人攻擊。在啟動安全連接之前，客戶端使用CA證書對服務器證書上的CA簽名進行身份驗證，作為授權的一部分。通常，客戶端軟件（例如，瀏覽器）含有一組可信CA證書。這是有道理的，因為許多用戶需要信任他們的客戶端軟件。惡意或受損的客戶端可以跳過任何安全檢查，仍然欺騙其用戶相信其他情況。

CA的客戶端將監管服務器將他們的證書提供給用戶。商業CA收取頒發證書的費用，其客戶的CA證書將被包含在大多數Web瀏覽器中，因此與認證服務器的安全連接可以高效地開箱即用。信任特定證書頒發機構的一定數量的互聯網瀏覽器，其他設備和應用程序被稱為ubiquity.Mozilla，這是一個非營利性企業，它的產品發布了多個商業CA證書。^[1]當Mozilla制定自己的政策時，CA /瀏覽器論壇為CA信任制定了類似的指導方針。單個CA證書可以在多個CA或其中間CA證書之間共享。根CA證書是可以是頒發具有不同驗證要求的多個中間CA證書的基礎。

除商業CA外，一些非營利組織向公眾免費發放數字證書; 值得注意的例子是CAcert和Let's Encrypt。

大型組織或政府機構可能擁有自己的PKI（公鑰基礎設施），每個都包含自己的CA. 使用Self-signed_certificate（英語：Self-signed_certificate）的任何站點都充當自己的CA。

瀏覽器和其他類型的客戶端特徵性地允許用戶隨意添加或取消CA證書。雖然服務器證書有效期一般相對較短，但CA證書會進一步繼承，^[2]因此，對於重複訪問的服務器，導入和信任錯誤的CA頒發更少，而不是每次續訂服務器證書時確認安全豁免。

較少使用可信賴的證書來加密或簽名消息。 CA也可以分配最終用戶證書，可以與S/MIME一起使用。然而，加密需要接收者的公鑰，並且由於加密消息的作者和接收者顯然彼此了解，所以可信第三方的有用性仍然局限於發送到公共郵件列表的消息的簽名驗證。

CA中心為每個使用公開密鑰的用戶發放一個數字證書，數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數字簽名使得攻擊者不能偽造和篡改證書。它負責產生、分配並管理所有參與網上交易的個體所需的數字證書，因此是安全電子交易的核心環節。在SET交易中，CA不僅對持卡人、商戶發放證書，還要對獲款的銀行、網關發放證書。

CA是證書的簽發機構，它是PKI的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份，並對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權。

CA 也擁有一個證書（內含公鑰）和私鑰。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ，任何人都可以得到 CA 的證書（含公鑰），用以驗證它所簽發的證書。

用戶若欲取得證書，應先向 CA 提出申請，CA 判明申請者的身份後，為之分配一個公鑰，並將該公鑰與其身份信息綁定，為該整體簽字，簽字後的整體即為證書，發還給申請者。

如果一個用戶想鑑別另一個證書的真偽，他就用 CA 的公鑰對那個證書上的簽字進行驗證，一旦驗證通過，該證書就被認為是有效的。

為保證用戶之間在網上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性，不僅需要對用戶的身份真實性進行驗證，也需要有一個具有權威性、公正性、唯一性的機構，負責向電子商務的各個主體頒發並管理符合國內、國際安全電子交易協議標準的電子商務安全證，並負責管理所有參與網上交易的個體所需的數字證書，因此是安全電子交易的核心環節。

供應商[編輯]

在全球範圍內，證書頒發機構業務是分散的，國內或區域提供商主導其本國市場。這是因為許多數字證書的使用，例如具有法律約束力的數字簽名，與證書頒發機構的當地法律，法規和認證計劃相關聯。

但是，全球值得信賴的TLS / SSL服務器證書的市場主要由少數跨國公司持有。由於技術要求，該市場存在重大Barriers_to_entry（英語：Barriers_to_entry）。^[3]雖然不是法律要求，但新的提供商可能會選擇接受年度安全審核（例如北美證書頒發機構的WebTrust（英語：WebTrust）^[4]和歐洲的ETSI^[5]），以便通過網絡瀏覽器或操作系統作為受信任的根目錄進行審核。Mozilla Firefox 網頁瀏覽器中可信任180多個根證書，代表大約80個組織。^[6] macOS信任200多個根證書。從Android 4.2（Jelly Bean）開始，Android目前包含100多個CA，每個版本都會更新。^[7]

證書[編輯]

證書實際是由證書籤證機關（CA）簽發的對用戶的公鑰的認證。

證書的內容包括：電子簽證機關的信息、公鑰用戶信息、公鑰、權威機構的簽字和有效期等等。目前，證書的格式和驗證方法普遍遵循X.509 國際標準。　　

加密：ca認證將文字轉換成不能直接閱讀的形式（即密文）的過程稱為加密。
解密：將密文轉換成能夠直接閱讀的文字（即明文）的過程稱為解密。

如打算在電子文檔上實現簽名的目的，可使用數字簽名。RSA公鑰體制可實現對數字信息的數字簽名，方法如下：

信息發送者用其私鑰對從所傳報文中提取出的特徵數據（或稱數字指紋）進行RSA算法操作，以保證發信人無法抵賴曾發過該信息（即不可抵賴性），同時也確保信息報文在傳遞過程中未被篡改（即完整性）。當信息接收者收到報文後，就可以用發送者的公鑰對數字簽名進行驗證。

在數字簽名中有重要作用的數字指紋是通過一類特殊的散列函數（HASH函數）生成的。對這些HASH函數的特殊要求是：

接受的輸入報文數據沒有長度限制；
對任何輸入報文數據生成固定長度的摘要（數字指紋）輸出；
從報文能方便地算出摘要；
難以對指定的摘要生成一個報文，而由該報文可以算出該指定的摘要；
兩個不同的報文難以生成具有相同的摘要。

數字證書[編輯]

數字證書為實現雙方安全通信提供電子認證。在因特網、公司內部網或外部網中，使用數字證書實現身份識別和電子信息加密。數字證書中含有密鑰對（公鑰和私鑰）所有者的識別信息，通過驗證識別信息的真偽實現對證書持有者身份的認證。

數字身份認證原理[編輯]

若註冊者認定一個人的身份，是通過註冊者信任的另外一個人來進行的。註冊者信任的那個人就是身份認證機構（可以是一個自然人）。把數字身份比喻成一個證件，那麼數字證書就是身份認證機構蓋在數字身份證上的一個章或印（或者說加在數字身份證上的一個簽名），這一行為表示身份認證機構已認定這個人。

身份認證機構是人們註冊公鑰的機構。註冊之後，身份認證機構就向註冊者發一數字證書，也就是說在註冊者的數字身份證上加簽。服務有免費，也有收費。身份認證機構也可以是一個自然人，就如PGP和GPG系統所倡導的。

參見[編輯]

擴展驗證證書

參考資料[編輯]

^ "Mozilla Included CA Certificate List — Mozilla". Mozilla.org. Archived from the original on 2013-08-04. Retrieved 2014-06-11.
^ Zakir Durumeric; James Kasten; Michael Bailey; J. Alex Halderman (12 September 2013). "Analysis of the HTTPS Certificate Ecosystem" (PDF). The Internet Measurement Conference. SIGCOMM. Archived (PDF) from the original on 22 December 2013. Retrieved 20 December 2013.
^ "What is SSL Certificate?". Archived from the original on 2015-11-03. Retrieved 2015-10-16.
^ "webtrust". webtrust. Archived from the original on 2013-08-18. Retrieved 2013-03-02.
^ Kirk Hall (April 2013). "Standards and Industry Regulations Applicable to Certification Authorities" (PDF). Trend Micro. Archived (PDF) from the original on 2016-03-04. Retrieved 2014-06-11.
^ "CA:IncludedCAs - MozillaWiki". wiki.mozilla.org. Archived from the original on 2017-03-25. Retrieved 2017-03-18.
^ "Security with HTTPS and SSL". developer.android.com. Archived from the original on 2017-07-08. Retrieved 2017-06-09.

外部連結[編輯]

開放式目錄計劃中和Certificate authorities相關的內容
Certificate Authority Reviews
認證中心國別一覽^{[永久失效連結]}
How secure is HTTPS today? How often is it attacked?, Electronic Frontier Foundation (25 October 2011)

[1] "Mozilla Included CA Certificate List — Mozilla". Mozilla.org. Archived from the original on 2013-08-04. Retrieved 2014-06-11.

[2] Zakir Durumeric; James Kasten; Michael Bailey; J. Alex Halderman (12 September 2013). "Analysis of the HTTPS Certificate Ecosystem" (PDF). The Internet Measurement Conference. SIGCOMM. Archived (PDF) from the original on 22 December 2013. Retrieved 20 December 2013.

[3] "What is SSL Certificate?". Archived from the original on 2015-11-03. Retrieved 2015-10-16.

[4] "webtrust". webtrust. Archived from the original on 2013-08-18. Retrieved 2013-03-02.

[5] Kirk Hall (April 2013). "Standards and Industry Regulations Applicable to Certification Authorities" (PDF). Trend Micro. Archived (PDF) from the original on 2016-03-04. Retrieved 2014-06-11.

[6] "CA:IncludedCAs - MozillaWiki". wiki.mozilla.org. Archived from the original on 2017-03-25. Retrieved 2017-03-18.

[7] "Security with HTTPS and SSL". developer.android.com. Archived from the original on 2017-07-08. Retrieved 2017-06-09.

[1]

[2]

[3]

[4]

[5]

[6]

[7]