瀏覽器如何驗證SSL證書(shū)是否受信任?
瀏覽器首先檢查你購買(mǎi)的SSL證書(shū)的簽發(fā)者是不是可信根證書(shū),如果不是那么會(huì )檢查你的SSL證書(shū)的簽發(fā)機構是否被可信根證書(shū)簽發(fā),以此類(lèi)推,直到找到一個(gè)可信的根證書(shū),標示你的證書(shū)是可信的,如果找不到那么你的證書(shū)就是不可信的。
目前根證書(shū)庫包含瀏覽器信任的證書(shū)頒發(fā)機構CA的根證書(shū),有的瀏覽器會(huì )自建根證書(shū)庫,例如火狐,有的瀏覽器會(huì )使用其他瀏覽器的根證書(shū)庫。證明證書(shū)可信的工作通常是由瀏覽器來(lái)完成的,用戶(hù)證書(shū)由中間證書(shū)證明可信,中間證書(shū)由根證書(shū)證明可信,根證書(shū)則是瀏覽器通過(guò)檢索根證書(shū)庫來(lái)確認是否可信。
根證書(shū)頒發(fā)機構CA對其他根證書(shū)頒發(fā)機構CA的公鑰進(jìn)行簽名得到的中間證書(shū)稱(chēng)為交叉證書(shū)。使用交叉證書(shū)的兩種情況:
一是某些舊版本瀏覽器的根證書(shū)庫并不完整,部分根證書(shū)頒發(fā)機構簽發(fā)的中間證書(shū)不被信任,需要使用交叉證書(shū)來(lái)解決兼容性問(wèn)題;
二是如果出現根證書(shū)頒發(fā)機構CA收購其他根證書(shū)頒發(fā)機構CA的情況,就需要使用交叉證書(shū)來(lái)收回被收購方的根證書(shū)。
021yin.com