数字证书

什么是数字证书

数字证书 (Digital Certificate) 是证明公钥所有者身份的电子身份证明。由证书颁发机构 (CA: Certificate Authority) 签发，保证"此公钥确实属于此域名 (或组织)"。

当您在浏览器中访问 HTTPS 网站时，服务器会出示其数字证书。浏览器验证证书的有效性，如果可信则建立加密连接。这一机制是互联网安全通信的基础。

证书类型

• DV (域名验证) 证书：仅验证域名所有权的最简单证书。通过 DNS 记录或邮件验证自动签发。可从 Let's Encrypt 免费获取。适合个人网站、博客和小型服务。加密强度与 OV 和 EV 相同。
• OV (组织验证) 证书：还验证组织的法律存在。需提交注册文件，签发需数天。用于需要展示组织可信度的企业网站和服务。
• EV (扩展验证) 证书：最严格的验证，包括法律存在、实际地址和运营状态。以前在浏览器中显示绿色地址栏，但主流浏览器已取消这一视觉区分。相比 DV 的实际优势已减弱，采用率正在下降。

信任链 (Chain of Trust)

数字证书的可信度建立在"信任链"之上。

1. 根证书：由顶级 CA (根 CA) 自签名签发的证书。预装在操作系统和浏览器中 (信任库)。DigiCert、GlobalSign、ISRG (Let's Encrypt) 是代表性机构。
2. 中间证书：由根 CA 签发给中间 CA。根 CA 的私钥离线保管以确保安全，日常证书签发委托给中间 CA。
3. 终端实体证书：签发给实际网站或服务的证书。由中间 CA 签名。浏览器从终端实体证书经中间证书追溯到根证书来验证信任。

如果链中任何一环断裂 (例如中间证书被吊销)，其下所有证书都变为不可信。这就是 CA 安全性至关重要的原因。

证书管理与运维

证书运维的关键要点。

• 有效期管理：证书有有效期 (目前最长 398 天)。过期证书会触发浏览器警告。Let's Encrypt 证书有效期 90 天，自动续期 (certbot) 必不可少。
• 自动续期：手动续期容易出错，有服务中断风险。使用 ACME 客户端 (certbot、acme.sh) 实现自动化。
• 证书透明度 (CT)：公开记录所有已签发证书的机制。可检测错误或恶意签发的证书。主流浏览器要求 CT 日志注册。
• 吊销：被泄露的证书必须立即吊销。使用 CRL (证书吊销列表) 和 OCSP (在线证书状态协议) 进行吊销检查，推荐使用 OCSP Stapling 以提升性能。

常见误解

EV 证书比 DV 证书加密更强

加密强度不取决于证书类型。DV、OV、EV 都使用相同的 TLS 加密。区别仅在于对域名运营者身份的验证级别。

越贵的证书越安全

Let's Encrypt 的免费 DV 证书与付费 DV 证书在加密安全性上没有差异。付费证书的附加价值在于组织验证、通配符支持、客户支持和保证金，而非加密强度。

相关术语