证书颁发机制
数字证书由受信任的证书颁发机构(CA)签发,包含服务器/客户端的公钥和身份信息。CA在签发前需验证申请者的域名所有权及企业资质,确保实体身份与证书内容一致。
握手过程中的证书交换
在SSL/TLS握手阶段,服务器会向客户端发送包含以下内容的数字证书:
- 证书明文(含公钥和主体信息)
- CA生成的数字签名(用私钥加密的证书摘要)
客户端通过预置的CA公钥解密签名,比对自行计算的证书摘要以验证完整性。
验证流程的核心步骤
客户端收到证书后执行四层验证:
- 检查证书链完整性,确认颁发机构是否受信任
- 验证证书有效期(当前时间需在Not Before和Not After之间)
- 查询证书吊销列表(CRL/OCSP)确认未失效
- 比对域名与访问地址是否匹配
有效期与信任链验证
客户端通过操作系统或浏览器内置的根证书库验证信任链,逐级追溯至可信根CA。若中间证书过期或未包含在信任库中,将触发安全警告。
SSL证书通过CA背书、加密签名和分层验证机制,构建了完整的身份认证体系。该流程结合密码学技术与权威机构监管,有效防范中间人攻击和证书伪造风险。
