浏览器如何验证SSL证书是否受信任
2020年8月10日
浏览器首先检查你购买的SSL证书的签发者是不是可信根证书,如果不是那么会检查你的SSL证书的签发机构是否被可信根证书签发,以此类推,直到找到一个可信的根证书,标示你的证书是可信的,如果找不到那么你的证书就是不可信的。
目前根证书库包含浏览器信任的证书颁发机构CA的根证书,有的浏览器会自建根证书库,例如火狐,有的浏览器会使用其他浏览器的根证书库。证明证书可信的工作通常是由浏览器来完成的,用户证书由中间证书证明可信,中间证书由根证书证明可信,根证书则是浏览器通过检索根证书库来确认是否可信。
根证书颁发机构CA对其他根证书颁发机构CA的公钥进行签名得到的中间证书称为交叉证书。使用交叉证书的两种情况:
一是某些旧版本浏览器的根证书库并不完整,部分根证书颁发机构签发的中间证书不被信任,需要使用交叉证书来解决兼容性问题;
二是如果出现根证书颁发机构CA收购其他根证书颁发机构CA的情况,就需要使用交叉证书来收回被收购方的根证书。
