先了解一下到底有多少个CA?
据统计,全球有数百个公共CA,通常它们是按国家地区进行划分的。但是,实际上排名靠前的也有大约数十个,比如GDCA,Digicert,Seo Trust,GlobalSign,Secure Site(原Symantec)等等。当然,这些CA颁发的证书深受全球企业用户和个人用户的广泛认可和使用。这类CA是商业CA,也称为公共信任的证书颁发机构。
什么是受信任的CA?
受信任的CA也称商业CA,是为申请证书的企业组织颁发数字证书的权威性第三方机构,并管理最终用户数据加密的公共密钥和证书。这类证书机构颁发的受信任数字证书必须符合CA/浏览器论坛提出的基准要求,以确保网站的高安全性,减少漏洞安全风险。
目前特别知名的CA机构有:
GDCA
Digicert
Seo Trust
GlobalSign
Secure Site
但不仅限以上几个受信任的CA。
什么是私有CA?
私有证书颁发机构(也称私有PKI)是内部CA,通常存在于大型企业中,企业自己创建、颁发数字证书,所以也称为自建CA。自建CA在许多方面都像公共CA一样运作,但是最明显的区别在于:
私有CA颁发的证书仅受其内部用户,客户端和IT系统信任;
私有CA颁发的证书会限制对选定用户组的访问。
您必须自己建立私有CA,并托管私有CA(或者找第三方帮您完成)。
由于这些证书是由内部CA而不是受信任的第三方CA颁发的,因此这类证书最适合在企业内网中使用,而绝不会面向公用的站点。所以,私有CA自签名证书最常用于以下场景:
虚拟专用网络;
内网站点;
私人电子邮件签名证书;
封闭式的用户组服务;
文件共享应用程序。
谁决定哪些证书颁发机构受到公共信任?
这个问题没有准确的答案,因为不同的系统或者浏览器会信任不同的CA机构,比如Microsoft决定Windows计算机信任哪些CA;Mozilla决定Firefox和Linux计算机中信任哪些CA;苹果公司决定在其Safari浏览器,设备操作系统等上信任哪些CA。但不管他们信任哪个CA,都会选择权威的,受到公共信任的CA。
所以,公共CA与私有CA的区别在于:
1. 应用场景不同
受信任的CA签发的证书符合行业的基本标准,安全性高,多用于公众访问的站点,特别是电子商务系统,网银系统,证券系统等;
自签名的CA证书则适用于内网站点,适合企业内部人员的使用。
2. 安全系数不同
公共CA证书是由受信任的根证书签发,CA在签发证书前还会对证书申请者进行身份验证,确保其身份的真实性。如果已签发的证书发现有问题,CA有权吊销该证书以避免安全问题的发生。
自签名证书是自己创建的CA签署的数字证书,它普遍存在严重的安全漏洞,极易受到攻击劫持,而且通常不受浏览器信任,因此自签名证书安全系数非常低。此外,私有CA无权吊销自签名证书。
3. 成本投入不同
由于CA包含在信任库中,您的证书将被公开信任,从公共证书机构颁发的证书只是公共信任的证书的一小部分,企业或个人用户只需要支付很少的费用就可让站点得到安全的保护和身份认证。
声明:本平台所收集的部分公开资料来源于互联网,转载的目的在于传递更多信息及用于网络分享,并不代表本平台赞同其观点和对其真实性负责,也不构成任何其他建议。如果您发现平台上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。
领取优惠
提交成功!