Центр сертификации CA (центр сертификации) подписывает сертификат, чтобы предотвратить подделку содержимого сертификата посредниками при получении сертификата.
ps. Браузеры и операционные системы обычно интегрируют информацию об открытом ключе центра сертификации.
Откройте сведения о сертификатах zhihu.com и baidu.com через браузер, и вы увидите их иерархию сертификатов:
# zhihu.com
DigiCert Global Root CA
GeoTrust CN RSA CA G1
*.zhihu.com
# baidu.com
GlobalSign
GlobalSign RSA OV SSL CA 2018
baidu.com
Вместо корневого сертификата, непосредственно подписывающего сертификат доменного имени, будет использоваться промежуточный сертификат для подписи сертификата доменного имени.
Цепочка доверия сертификатов Процесс проверки:
1. Снизьте риск подделки сертификатов.
Трехуровневая структура делит центры сертификации на корневые центры сертификации и промежуточные центры сертификации. Если злоумышленник хочет подделать сертификат, ему необходимо подделать подпись ЦС уровня 3, что значительно увеличивает сложность.
2. Лучшее управление ключами
Корневой центр сертификации отвечает за выдачу сертификатов субцентра сертификации и не выдает сертификаты сервера напрямую. Это позволяет защитить корневой ЦС с помощью более надежных ключей и ротировать ключи дочернего ЦС.
3. Отзыв сертификата стал более гибким.
Если сертификат промежуточного центра сертификации поврежден, вы можете отозвать промежуточный центр сертификации, не затрагивая другие центры сертификации в цепочке доверия, и избежать крупномасштабного отзыва сертификата.
4. Децентрализованная цепочка доверия
Различные промежуточные центры сертификации могут использовать перекрестную подпись, чтобы предотвратить повреждение одного центра сертификации и сбой всей цепочки.
5. Дифференцируйте сферу бизнеса
Различные промежуточные центры сертификации могут выдавать сертификаты для разных целей для изоляции бизнеса.
6. Лучшая масштабируемость
Новые службы сертификации можно расширить за счет добавления промежуточных центров сертификации без перенастройки доверенных корневых центров сертификации.
7. Изолируйте внутренние и внешние сетевые сертификаты.
Сертификаты интрасети могут использовать независимый промежуточный центр сертификации, отделенный от общедоступного центра сертификации, чтобы снизить риск повреждения сертификата.