SSL和CA基础知识

SSL 安全协议最初是由美国网景 Netscape Communication 公司设计开发的，全称为：安全套接层协议 (Secure Sockets Layer) ， 它指定了在应用程序协议 ( 如 HTTP 、 Telnet 、 FTP) 和 TCP/IP 之间提供数据安全性分层的机制，它是在传输通信协议 (TCP/IP) 上实现的一种安全协议，采用公开密钥技术，它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

。。 最简单地讲：服务器部署SSL证书后，能确保服务器与浏览器之间的数据传输是加密传输的，是不能在数据传输过程中被篡改和被解密的。所以，所有要求用户在线填写机密信息的网站都应该使用SSL证书来确保用户输入的信息不会被非法窃取，这不仅是对用户负责的做法，特别是要求填写有关信用卡、储蓄卡、身份证、以及各种密码等重要信息时，而且也是保护网站自己的以后机密信息的有效手段。而用户也应该有这种意识，在线填写用户自己认为需要保密的信息时看看浏览器右下面是否出现一个锁样标志，如果没有锁样标志，则表明用户您正在输入的信息有可能在提交到服务器的网络传输过程中被非法窃取而泄露，建议您拒绝在不显示安全锁的网站上提交任何您认为需要保密的信息，这样才能确保您的机密信息不会被泄露。

。。目前国内用户可选择购买的SSL证书有两种，一种是直接支持所有浏览器的来自美国的Thawte /GeoTrust/Verisign等公司颁发的，一种是国内各种认证中心颁发的，但不被浏览器认可，需要另外安装根证书，同时，在访问网站时会提示 “ 该安全证书由您没有选定信任的公司颁发 ” 或点击锁标志查询证书时会显示“ 无法将这个证书验证到一个受信任的证书颁发机构 ”。用户应该根据自己的需要正确选择全球通用的支持所有浏览器的SSL证书。

。。目前，我国几乎是各个省市都成立了CA(Certification Authority，认证中心)，之所以一窝蜂上CA项目，无非是两个理由：一是商业利益驱动，二是国家安全理由。我们对两个理由稍加分析如下：

。。一是商业利益驱动，无非是认为电子商务蓬勃发展，人人都将拥有一个数字证书，一个13亿人口的巨大市场。但是，在国际上，设立CA和审批CA是非常严格的，光是申请审查费用就是上百万美元，同时还要办理所有流行的浏览器和服务器以及其他软件提供商的兼容认证。CA系统就象域名系统一样，类似于有一个全球的根，如果中国独立搞一套域名系统是不可想象的，但目前的CA系统就是各省各市都要搞一套独立的系统， 而且互不相通，我们认为这是行不通的。

。。而为什么要搞独立的一套，其最大的理由是国家安全，我们当然认为任何涉及到国家机密的系统一定要有自己的系统，这不在我们讨论的范围。对于商业应用，特别是对于在全球经济一体化背景下参与国际市场的中国企业，更多的考虑是与国际接轨，是否涉及到安全问题，我们还是先看看 CA 的作用和数字证书的加密原理， CA 的作用就是检查证书持有者身份的真实性，并用数学方法在数字证书上签字确认其合法性，以防止证书被伪造或篡改，起到一个通过权威的第三方身份认证的目的。而私钥是保存在自己服务器或个人电脑上的，任何 CA 是不可能得到此私钥的，所以任何 CA 都不可能窃取或解密服务器与浏览器之间的 SSL 传输加密数据，浏览器与服务器之间的加密传输过程也不经过CA的认证服务器，直接是用户端电脑与服务器之间的数据传输。既然CA系统(PKI体系)使得任何CA只是起到一个第三方证明的目的，而不可能窃取机密数据，那CA是哪个国家的有任何关系吗？用户当然应该选择全球通用的、支持所有浏览器的国际认证的数字证书。以安全为理由是不充分的，相信任何懂得一点有关 CA 的常识的人士都能理解，实际上打着安全的理由而还是利益驱动，但由于不支持所有浏览器而最终用户不买帐，其利益也就很难实现了，这就非常容易解释为何现在的所有的国内 CA 都处于亏损状态了。

。。 中国的 CA 颁发的数字证书一定要支持所有浏览器和服务器才能有市场，这是我们希望看到的中国的 CA 的未来必走之路，而现在，我们只能建议用户购买支持所有浏览器的 CA所颁发的数字证书。

。。 请注意，我国于 2005 年 4 月 1 日生效的《电子签名法》同样保护美国合法 CA 机构颁发的数字证书，因为数字世界 CA 所起的作用 — 颁发数字证书就等同于现实世界的公证处颁发的公证文件，而中国和美国是相互认可公证文件的，也就是说国外CA颁发的数字证书也是受《电子签名法》保护的，而且是全球通用的。

参考：http://net.yesky.com/424/2512924.shtml