信任链

✍ dations ◷ 2025-06-30 03:09:09 #电脑安全,认证方法,公钥密码学

信任链,或称数字证书链,是一连串的数字证书,由根证书为起点,透过层层信任,使终端实体证书的持有者可以获得转授的信任,以证明身份。基于信息安全的考虑,在进行电子商务或使用政府服务时,交易的另一方用户,以根证书为基础,凭借对签发机构的信任,相信当时持有信任链终端的证书持有者确为其人,并透过公开密钥加密确保通信保密、透过数字签名确保内容无误、以及保证对方无法抵赖(英语:Non-repudiation)。

公开密钥基础建设已经在X.509及RFC 5280指定了使用信任链的认证路径验证算法(英语:Certification path validation algorithm)。其中,会透过证书吊销列表及OCSP检查手上得到的证书是否已被证书机构在到期前撤消。另一方面,证书机构签发新的证书时,也可能透过证书透明度公布签发证书的记录,让公众查核,避免有其他机构在未得到当事人同意下滥发欺诈证书伪冒身份。CA/浏览器论坛通过了DNS证书颁发机构授权协议,参与的证书机构会在签发证书前透过域名系统检查是否已获授权。

在互联网中,任何机构都可以登记域名以设立服务器,供大众连接沟通并进行电子商务或使用政府服务。虽然公开密钥加密可以确保通信保密、数字签名可以确保内容无误、以及保证对方无法抵赖;但如果数字证书未获得可供信任的数字证书认证机构数字签名(即自签证书(英语:Self-signed certificate)),对方的真实身份仍然可疑(除非通信双方早已互相认识并预先透过安全渠道交换数字证书)。数字证书认证机构在公开密钥加密基建担任了非常重要的角色,电脑软件安装并信任了其根证书,根据其私钥签发的下层证书都可(基于数字签名)被自动信任,如果是中介证书,则再下层的终端实体证书也一样被自动信任,此即构成了一条信任链。

以维基百科为例,其信任链包含了三张数字证书:

总括来说,由于用户信任 GlobalSign,所以由 GlobalSign 所担保的维基百科可以被信任。而由于用户信任操作系统或浏览器的软件商,所以由软件商预载了根证书的 GlobalSign 都可被信任。

相关

  • FeFsub3/sub氟化铁,又称三氟化铁,氟化铁(Ⅲ),是氟和铁的化合物,化学式是FeF3。用于陶瓷,在推进剂中用作燃速催化剂。氟化铁是很难制造出来的,即是在自然界中很少存在,氟化铁在1000℃升华,微溶于冷
  • 榛果俪榛果俪(意大利语:Frangelico)是一款意大利皮埃蒙特大区库内奥省Canale市出产的榛子香草风味力娇酒,酒精浓度20%。20世纪80年代最初发布的时候,榛果俪的酒精浓度为24%。榛果俪的酒
  • 地缘政治学Portal:政治地缘政治学(英语:Geopolitics、德语:Geopolitik)是探讨个人、组织或团体,因为空间分布等的地理因素,经营政治的手段及方法。目前用于军事、外交等战略分析方面较多,通常
  • 宜浏片宜浏片,赣语九个方言片之一。赣语宜春片,或称之为宜浏片。主要分布在赣西和赣西北以及湖南同萍乡毗邻的两个县市。包括江西的万载县、宜丰县、上高县、高安市、渝水区、樟树市
  • 史崔克斯特赖克装甲车(Stryker vehicle)是美军为21世纪战场设计的新式八轮装甲车,是在瑞士的食人鱼装甲车和加拿大的LAV-3装甲车的基础上经过改造而成,以美国国会荣誉勋章的两位获奖士
  • 达纳角 (加利福尼亚州)达纳角(英文:Dana Point),是美国加利福尼亚州橙县下属的一座城市。建市于1911年3月22日,面积 大约为6.5平方英里 (16.8平方公里)。根据2010年美国人口普查,该市有人口33,351人。
  • 楠木正行楠木正行(?-1348年2月4日),是南北朝时代的武将。楠木正成之嫡男。相对于尊称为“大楠公”的正成,被称为“小楠公”。继承父之意志,和足利尊氏作战。河内国出身。幼名多闻丸。生年不
  • Microsoft PowerToysMicrosoft PowerToys是一组免费的系统工具软件,由微软为Windows操作系统上的高级用户(英语:Power user)设计。这些程序为了使生产力达到最高,加入或变更了一些功能,或加入更多自定
  • 梁乔升梁乔升(?-?),字以顺,广东广州府顺德县人,军籍,明朝政治人物。广东乡试第二十七名举人。正德十六年(1521年)中式辛巳科会试第二百六十七名,登第三甲第一百三十六名进士。授户部主事,历改刑
  • 何塞·桑托斯·塞拉亚何塞·桑托斯·塞拉亚·洛佩斯 (西班牙语: José Santos Zelaya López, 1853 – 1919) 是尼加拉瓜政治家,曾于1893年至1909年担任尼加拉瓜总统。1893年,塞拉亚当选尼加拉瓜总