自簽名證書
簽發後的CA證書可以進行擴展,分爲私有擴展和標準擴展,私有擴展針對的是自簽名證書,即由用戶自己簽發的證書,而非CA機構簽發的,一般瀏覽器也不會集成有字簽名證書的根證書,所以訪問這類網站時,瀏覽器會提示給證書是不安全的,可能是僞造的。當然用戶也可以選擇信任該證書,然後繼續TLS/SSL的握手過程,完成握手後,TLS/SSL仍然提供數據加密等完整性保護。自簽名證書通常是內部使用,或者用在測試環境裏,根據證書能否被吊銷,又分爲自簽名私有證書和自簽名CA證書,自簽名私有證書是無法吊銷的,而自簽名CA證書可以吊銷,這裏不詳細展開。
證書的標準擴展
回到證書擴展,對自簽名證書進行的擴展稱爲私有擴展,對於標準的由CA機構簽發的證書進行擴展爲標準擴展。可擴展項有很多,SAN擴展,密鑰標識符,密鑰用法和基本約束等。
SAN擴展
SAN擴展,即Subject Alternative Name,用戶可選擇名稱。subjectAltName屬性項包含了IP地址,域名和電子郵件地址等,且這些屬性的值可以不止一個,例如域名,拿域名來舉例,在CA證書裏,一張證書被多個域名擁有,則要在使用者Subject子項裏放入一個主域名,然後在SAN擴展中放入其他的域名,且在SAN擴展中第一項DNS Name爲使用者Subject子項的主域名,來具體看個例子,在CSDN網站的證書中:
使用者Subject子項中放入的主域名CN = *.csdn.net
可以看到,在證書的SAN擴展項中,第一條DNS Name和使用者Subject子項的域名是一樣的,通過擴展項可以爲一個證書擴展多個域名。
使用者密鑰標識符和CA密鑰標識符
CA密鑰標識符表示的是該證書由哪個CA機構發放,還有中間證書的地址,CA機構通過中間證書來簽發服務器CA證書。使用者密鑰標識符則是用來標識服務器實體。
基本約束
基本約束擴展用來標識這個CA證書可不可以簽發證書,沒錯就是由證書來簽發其他服務器實體證書,而不是通過CA機構簽發。因爲如果所有的服務器實體證書都由CA機構來簽發,那麼CA機構的工作量非常大,受信任的CA機構並不多,所以CA機構採取授權給二級CA機構的方式來簽發和管理證書申請,也就是說,有授權的二級CA機構也可以爲服務器實體簽發證書。受信任的一級CA機構有根證書可以簽發二級CA機構證書,也就是中間證書,然後二級CA機構可以簽發服務器實體證書。基本約束的默認值是false,標識該證書只能用於身份驗證,不能簽發其他服務器實體證書。還有一個屬性Path Length Constraint標識該證書可以簽發多少層級的證書。
CRL分發點
CRL,Certificate Revocation List,證書吊銷列表,是TLS/SSL協議的一部分,CRL是一個黑名單文件,裏面存放了所有CA機構簽發的已被吊銷的證書,包括每一張證書被吊銷被吊銷的原因,如果瀏覽器在校驗服務器身份時發現其證書的序列號在CRLs(Certificate Revocation Lists)黑名單中,則表示該證書是已經被吊銷了的。
那麼CRL分發點又是什麼?CRL分發點是互聯網上的一個地址,證書中的擴展項中有CRL分發點,瀏覽器可以根據擴展項中的CRL分發點來校驗該證書是否被吊銷,通過該分發點下載全部CRL文件,然後校驗出被吊銷的證書。
證書分類
最常見的證書類型是DV證書(Domain Validated),適合個人網站,請求該類證書的速度較快,審覈較寬鬆,因爲DV證書只需要驗證域名信息,在服務器實體申請證書的CSR文件裏,包含了服務器實體的域名,CA機構校驗域名是真的屬於該服務器後,便審覈通過,簽發DV證書給服務器實體。不過從DV證書的申請大致流程可以看到,CA機構重點校驗的是域名信息,不會對服務器實體身份做嚴格的審查,所以容易出現攻擊者對DNS攻擊後使用同樣的域名冒充服務器實體去申請證書。
第二類,OV證書(Organization Validated),則會嚴對服務器實體的身份信息進行審查,適合企業等機構對安全性的高要求。一個企業申請OV證書,除了域名審查等信息外,還要審查企業地址,企業資質等信息,通過了審覈的頒發的OV證書通常會被所有的常用瀏覽器信任,訪問該服務器時也能看到那個“綠色的小鎖”。OV證書的申請審覈時間通常比DV證書長。
第三類EV證書(Extended Validation),對於身份信息的審覈比DV和OV證書都要嚴格,根據Baseline Requirement標準來審覈服務器實體的身份,Baseline Requirement標準和X.509標準不同之處在於,X.509標準用來約束證書的結構,Baseline Requirement標準則是用來約束對證書申請者的身份信息審覈流程。一般對於銀行,電商等對安全性要求極高的機構會申請EV證書,審覈的信息包括機構的地址,營業執照等,申請審覈時間也是最長的,比OV證書要長,申請費用也更高。擁有EV證書的服務器訪問時除了會有“綠色小鎖”標誌外,還會顯示該企業的名字,而DV證書和OV證書只會顯示“綠色小鎖”標誌。
單域名證書和泛域名證書
註冊域
在服務器域名中,基於一個註冊域,可以分配出多個子域名。例如www.zzzjustin.com中,zzzjustin.com是註冊域,基於這個註冊域,我們可以分配出多個主機,如www1.zzzjustin.com和www2.zzzjustin.com等,在註冊域簽名加上“.”,表示的是這些子域名的幾個,.zzzjustin.com稱爲泛域名。
如果一個企業爲一個註冊域zzzjustin.com申請了證書,之後又想分配一個新的主機www1.zzzjustin.com,那麼企業無需爲這個新主機重新申請證書,而是直接把該主機合併到與註冊域zzzjustin.com同一個證書中就可以了。這類將多個主機包含在一張證書中稱爲泛域名證書,每次一個註冊域新增加一個主機時,都不需要重新申請證書。對應的也有單域名證書,即一個域名只對應一張證書,該證書只保護一個域名。
那如果一個企業有多個註冊域呢?例如www.zzzjustin.com和www.zzzjustin.cn,這種情況可以申請SAN證書,將多個註冊域合併到一張證書中。
