Ca憑證是什麼

Q: 信任憑證是什麼？

「可信任」是什麼意思？ 如果一個安全連線或簽章過的檔案是「可信任」的，這通常代表沒有出現警告訊息。 數位憑證被用在使用SSL/TLS的安全網站，用程式碼簽章識別和驗證可執行檔以及透過安全/多用途網際網路郵件擴展（S/MIME）的安全電子郵件。 如果瀏覽器存取的HTTPS伺服器具備不被信任的伺服器憑證就會出現警告訊息。

Q: 使用者憑證是什麼？

憑證是支援認證的一種方式。 憑證由數位資料組成，這些資料用於指定個人、公司或其他實體的名稱，並證明憑證中包含的公開金鑰屬於該實體。 用戶端和伺服器都可以擁有憑證。 伺服器認證是指用戶端對伺服器所進行的信任識別，亦即識別應負責特定網路位址上伺服器的組織。

目錄 Show

介紹[編輯]
憑證[編輯]
數位憑證[編輯]
數位身分認證原理[編輯]
參見[編輯]
連結[編輯]
如何申請ca憑證？
什麼是數位認證？
信任憑證是什麼？
使用者憑證是什麼？

本條目存在以下問題，請協助改善本條目或在討論頁針對議題發表看法。

此條目沒有列出任何參考或來源。 (2014年8月16日)
維基百科所有的內容都應該可供查證。請協助補充可靠來源以改善這篇條目。無法查證的內容可能會因為異議提出而移除。

此條目需要擴充。 (2010年6月18日)
請協助改善這篇條目，更進一步的訊息可能會在討論頁或擴充請求中找到。請在擴充條目後將此模板移除。

數位憑證認證機構（英語：Certificate Authority，縮寫為CA），也稱為電子商務認證中心、電子商務認證授權機構，是負責發放和管理數位憑證的權威機構，並作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。

介紹[編輯]

CA中心為每個使用公開金鑰的使用者發放一個數位憑證，數位憑證的作用是證明憑證中列出的使用者合法擁有憑證中列出的公開金鑰。CA機構的數位簽章使得攻擊者不能偽造和篡改憑證。它負責產生、分配並管理所有參與網上交易的個體所需的數位憑證，因此是安全電子交易的核心環節。在SET交易中，CA不僅對持卡人、商戶發放憑證，還要對獲款的銀行、閘道器發放憑證。

CA是憑證的簽發機構，它是公鑰基礎設施的核心。CA是負責簽發憑證、認證憑證、管理已頒發憑證的機關。它要制定政策和具體步驟來驗證、辨識使用者身分，並對使用者憑證進行簽章，以確保憑證持有者的身分和公鑰的擁有權。

CA也擁有使用者的憑證（內含公鑰）和私鑰。網上的公眾使用者通過驗證CA的簽章從而信任CA，任何人都可以得到CA的憑證（含公鑰），用以驗證CA所簽發的憑證。

使用者若欲取得憑證，應先向CA提出申請，CA判明申請者的身分後，為之分配一個公鑰，並將該公鑰與其身分資訊繫結，為該整體簽章，簽章後的整體即為憑證，發還給申請者。

如果一個使用者想鑑別另一個憑證的真偽，他就用CA的公鑰對那個憑證上的簽字進行驗證，一旦驗證通過，該憑證就被認為是有效的。

為保證使用者之間在網上傳遞資訊的安全性、真實性、可靠性、完整性和不可抵賴性，不僅需要對使用者的身分真實性進行驗證，也需要有一個具有權威性、公正性、唯一性的機構，負責向電子商務的各個主體頒發並管理符合國際安全電子交易協定標準的電子商務安全證，並負責管理所有參與網上交易的個體所需的數位憑證，因此CA是安全電子交易的核心環節。

憑證[編輯]

憑證實際是由憑證簽證機關（CA）簽發的對使用者的公鑰的認證。

憑證的內容包括：電子簽證機關的資訊、公鑰使用者資訊、公鑰、權威機構的簽字和有效期等等。目前，憑證的格式和驗證方法普遍遵循X.509國際標準。

加密：CA認證將文字轉換成不能直接閱讀的形式（即密文）的過程稱為加密。
解密：將密文轉換成能夠直接閱讀的文字（即明文）的過程稱為解密。

如打算在電子文件上實現簽章的目的，可使用數位簽章。RSA公鑰體制可實現對數字資訊的數位簽章，方法如下：

資訊傳送者用其私鑰對從所傳報文中提取出的特徵資料（或稱數字指紋）進行RSA演算法操作，以保證發信人無法抵賴曾發過該資訊（即不可抵賴性），同時也確保資訊報文在傳遞過程中未被篡改（即完整性）。當資訊接收者收到報文後，就可以用傳送者的公鑰對數位簽章進行驗證。

在數位簽章中有重要作用的數字指紋是通過一類特殊的雜湊函式（HASH函式）生成的。對這些HASH函式的特殊要求是：

接受的輸入報文資料沒有長度限制；
對任何輸入報文資料生成固定長度的摘要（數字指紋）輸出；
從報文能方便地算出摘要；
難以對指定的摘要生成一個報文，而由該報文可以算出該指定的摘要；
兩個不同的報文難以生成具有相同的摘要。

數位憑證[編輯]

數位憑證為實現雙方安全通信提供電子認證。在網際網路、公司內部網路或外部網中，使用數位憑證實現身分辨識和電子資訊加密。數位憑證中含有金鑰對（公鑰和私鑰）所有者的辨識資訊，通過驗證辨識資訊的真偽實現對憑證持有者身分的認證。

數位身分認證原理[編輯]

若註冊者認定一個人的身分，是通過註冊者信任的另外一個人來進行的。註冊者信任的那個人就是身分認證機構（可以是一個自然人）。把數位身分比喻成一個證件，那麼數位憑證就是身分認證機構蓋在數位身分證上的一個章或印（或者說加在數位身分證上的一個簽章），這一行為表示身分認證機構已認定這個人。

身分認證機構是人們註冊公鑰的機構。註冊之後，身分認證機構就向註冊者發一數位憑證，也就是說在註冊者的數位身分證上加簽。服務有免費，也有收費。身分認證機構也可以是一個自然人，就如PGP和GPG系統所倡導的。

參見[編輯]

X.509
擴充驗證憑證
TLS
數字簽名

連結[編輯]

開放式目錄計劃中和Certificate authorities相關的內容
Certificate Authority Reviews（頁面存檔備份，存於網際網路檔案館）
認證中心國別一覽[永久失效連結]
How secure is HTTPS today? How often is it attacked?（頁面存檔備份，存於網際網路檔案館）, Electronic Frontier Foundation (25 October 2011)
憑證信任鏈 https://letsencrypt.org/zh-cn/certificates/ （頁面存檔備份，存於網際網路檔案館）

TLS和SSL

協定和技術

傳輸層安全 / 安全通訊協定（TLS/SSL）
資料包傳輸層安全（DTLS）
DNS驗證頒發機構（CAA）
基於DNS的名稱實體身分驗證（英語：DNS-based Authentication of Named Entities）（DANE）
超文字傳輸安全協定
HTTP嚴格傳輸安全（HSTS）
HTTP公鑰固定（HPKP）
OCSP裝訂
前向保密
伺服器名稱指示（SNI）
STARTTLS
應用層協定協商（ALPN）

公鑰基礎設施

自動化憑證管理環境（英語：Automated Certificate Management Environment）（ACME）
數位憑證認證機構（CA）
CA/瀏覽器論壇
憑證策略（英語：Certificate policy）
憑證吊銷列表（CRL）
域名驗證型憑證（DV）
擴充驗證憑證（EV）
線上憑證狀態協定（OCSP）
組織驗證型憑證（英語：Organization-validated certificate）（OV）
公開金鑰認證
公開金鑰加密
公開金鑰指紋
公開金鑰基礎建設（PKI）
信任鏈
根憑證
自簽章憑證
授權憑證
萬用字元憑證
X.509

另見

域名系統安全擴充（DNSSEC）
IPsec
Secure Shell（SSH）

歷史

美國的加密技術出口管制
Server-Gated Cryptography（英語：Server-Gated Cryptography）（SGC）

實現

充氣城堡（英語：Bouncy Castle (cryptography)）
Botan（英語：Botan (programming library)）
cryptlib（英語：cryptlib）
GnuTLS
JSSE（英語：Java Secure Socket Extension）
LibreSSL
MatrixSSL
NSS
OpenSSL
mbed TLS
RSA BSAFE（英語：RSA BSAFE）
SChannel（英語：Security Support Provider Interface）
SSLeay
Stunnel
wolfSSL

公證

憑證透明度
Convergence（英語：Convergence (SSL)）
HTTPS Everywhere / SSL Observatory
Perspectives Project

漏洞

理論	中間人攻擊密文填塞攻擊幸運十三攻擊

密碼本	受誡禮攻擊（英語：Bar mitzvah attack）

協定	BEAST（英語：BEAST (security_exploit)） BREACH（英語：BREACH (security exploit)） CRIME DROWN（英語：DROWN attack） Logjam（英語：Logjam (computer security)）

實現	亂數發生器攻擊（英語：Random number generator attack） FREAK漏洞 goto失敗（英語：goto fail）心臟出血漏洞貴賓犬漏洞（由於TLS 1.0）

如何申請ca憑證？

1. 利用瀏覽器連結到CA 伺服器的網站︰IP 位址(或DNS 名稱)/certsrv，執行「要求憑證」申請用戶端憑證。 2. 選擇「電子郵件保護憑證」。 3. 填入相關識別資訊，包括使用者名稱、使用保護憑證的電子郵件位址等。

什麼是數位認證？

憑證以公開金鑰密碼學為基礎，公開金鑰密碼學使用數位金鑰(很長的數位) 對資訊進行加密或編碼，從而使資訊只能被指定的接收者讀取。然後，接收者對資訊進行解密(解碼)，即可讀取該資訊。一個金鑰對包含一個公開金鑰和一個私密金鑰。所有者對公開金鑰進行發放並使任何人都可以使用該公開金鑰。

信任憑證是什麼？

「可信任」是什麼意思？如果一個安全連線或簽章過的檔案是「可信任」的，這通常代表沒有出現警告訊息。數位憑證被用在使用SSL/TLS的安全網站，用程式碼簽章識別和驗證可執行檔以及透過安全/多用途網際網路郵件擴展（S/MIME）的安全電子郵件。如果瀏覽器存取的HTTPS伺服器具備不被信任的伺服器憑證就會出現警告訊息。