使用者:Xhqwizsi4199/憑證頒發機構

憑證頒發機構或數位憑證認證機構（英語：Certificate Authority，縮寫為CA）是指密碼學中頒發數位憑證的實體。數位憑證通過憑證的指定擁有者的身分(也稱作"subject")來證明了公鑰的所有權。這允許其他人（依賴方）依賴簽章或斷言經認證的公鑰與私鑰相對應。CA充當Trusted_third_party（英語：Trusted_third_party），受憑證的主體（所有者）和依賴憑證的一方信任。這些憑證的格式由X.509標準指定。

憑證頒發機構的一個特別常見的用途是簽署HTTPS中使用的憑證，這是全球資訊網的安全瀏覽協定。另一個常見用途是由國家政府簽發身分證時用於電子簽章檔案。

數位憑證認證機構（英語：Certificate Authority，縮寫為CA），也稱為電子商務認證中心、電子商務認證授權機構，是負責發放和管理數位憑證的權威機構，並作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。

介紹[編輯]

可信憑證可用於通過Internet建立與伺服器的安全連接。一個憑證是必要的，為了規避恰好位於到目標伺服器的路由上的惡意行為。這種常被稱為中間人攻擊。在啟動安全連接之前，客戶端使用CA憑證對伺服器憑證上的CA簽章進行身分驗證，作為授權的一部分。通常，客戶端軟體（例如，瀏覽器）含有一組可信CA憑證。這是有道理的，因為許多使用者需要信任他們的客戶端軟體。惡意或受損的客戶端可以跳過任何安全檢查，仍然欺騙其使用者相信其他情況。

CA的客戶端將監管伺服器將他們的憑證提供給使用者。商業CA收取頒發憑證的費用，其客戶的CA憑證將被包含在大多數Web瀏覽器中，因此與認證伺服器的安全連接可以高效地開箱即用。信任特定憑證頒發機構的一定數量的網際網路瀏覽器，其他裝置和應用程式被稱為ubiquity.Mozilla，這是一個非營利性企業，它的產品發布了多個商業CA憑證。^[1]當Mozilla制定自己的政策時，CA /瀏覽器論壇為CA信任制定了類似的指導方針。單個CA憑證可以在多個CA或其中間CA憑證之間共享。根CA憑證是可以是頒發具有不同驗證要求的多個中間CA憑證的基礎。

除商業CA外，一些非營利組織向公眾免費發放數位憑證; 值得注意的例子是CAcert和Let's Encrypt。

大型組織或政府機構可能擁有自己的PKI（公鑰基礎設施），每個都包含自己的CA. 使用Self-signed_certificate（英語：Self-signed_certificate）的任何站點都充當自己的CA。

瀏覽器和其他類型的客戶端特徵性地允許使用者隨意添加或取消CA憑證。雖然伺服器憑證有效期一般相對較短，但CA憑證會進一步繼承，^[2]因此，對於重複訪問的伺服器，匯入和信任錯誤的CA頒發更少，而不是每次續訂伺服器憑證時確認安全豁免。

較少使用可信賴的憑證來加密或簽章訊息。 CA也可以分配終端使用者憑證，可以與S/MIME一起使用。然而，加密需要接收者的公鑰，並且由於加密訊息的作者和接收者顯然彼此了解，所以可信第三方的有用性仍然局限於傳送到公共郵寄清單的訊息的簽章驗證。

CA中心為每個使用公開金鑰的使用者發放一個數位憑證，數位憑證的作用是證明憑證中列出的使用者合法擁有憑證中列出的公開金鑰。CA機構的數位簽章使得攻擊者不能偽造和篡改憑證。它負責產生、分配並管理所有參與網上交易的個體所需的數位憑證，因此是安全電子交易的核心環節。在SET交易中，CA不僅對持卡人、商戶發放憑證，還要對獲款的銀行、閘道器發放憑證。

CA是憑證的簽發機構，它是PKI的核心。CA是負責簽發憑證、認證憑證、管理已頒發憑證的機關。它要制定政策和具體步驟來驗證、辨識使用者身分，並對使用者憑證進行簽章，以確保憑證持有者的身分和公鑰的擁有權。

CA 也擁有一個憑證（內含公鑰）和私鑰。網上的公眾使用者通過驗證 CA 的簽字從而信任 CA ，任何人都可以得到 CA 的憑證（含公鑰），用以驗證它所簽發的憑證。

使用者若欲取得憑證，應先向 CA 提出申請，CA 判明申請者的身分後，為之分配一個公鑰，並將該公鑰與其身分資訊繫結，為該整體簽字，簽字後的整體即為憑證，發還給申請者。

如果一個使用者想鑑別另一個憑證的真偽，他就用 CA 的公鑰對那個憑證上的簽字進行驗證，一旦驗證通過，該憑證就被認為是有效的。

為保證使用者之間在網上傳遞資訊的安全性、真實性、可靠性、完整性和不可抵賴性，不僅需要對使用者的身分真實性進行驗證，也需要有一個具有權威性、公正性、唯一性的機構，負責向電子商務的各個主體頒發並管理符合國內、國際安全電子交易協定標準的電子商務安全證，並負責管理所有參與網上交易的個體所需的數位憑證，因此是安全電子交易的核心環節。

供應商[編輯]

在全球範圍內，憑證頒發機構業務是分散的，國內或區域提供商主導其本國市場。這是因為許多數位憑證的使用，例如具有法律約束力的數位簽章，與憑證頒發機構的當地法律，法規和認證計劃相關聯。

但是，全球值得信賴的TLS / SSL伺服器憑證的市場主要由少數跨國公司持有。由於技術要求，該市場存在重大Barriers_to_entry（英語：Barriers_to_entry）。^[3]雖然不是法律要求，但新的提供商可能會選擇接受年度安全稽核（例如北美憑證頒發機構的WebTrust（英語：WebTrust）^[4]和歐洲的ETSI^[5]），以便通過網路瀏覽器或作業系統作為受信任的根目錄進行稽核。Mozilla Firefox 網頁瀏覽器中可信任180多個根憑證，代表大約80個組織。^[6] macOS信任200多個根憑證。從Android 4.2（Jelly Bean）開始，Android目前包含100多個CA，每個版本都會更新。^[7]

憑證[編輯]

憑證實際是由憑證簽證機關（CA）簽發的對使用者的公鑰的認證。

憑證的內容包括：電子簽證機關的資訊、公鑰使用者資訊、公鑰、權威機構的簽字和有效期等等。目前，憑證的格式和驗證方法普遍遵循X.509 國際標準。　　

加密：ca認證將文字轉換成不能直接閱讀的形式（即密文）的過程稱為加密。
解密：將密文轉換成能夠直接閱讀的文字（即明文）的過程稱為解密。

如打算在電子文件上實現簽章的目的，可使用數位簽章。RSA公鑰體制可實現對數字資訊的數位簽章，方法如下：

資訊傳送者用其私鑰對從所傳報文中提取出的特徵資料（或稱數字指紋）進行RSA演算法操作，以保證發信人無法抵賴曾發過該資訊（即不可抵賴性），同時也確保資訊報文在傳遞過程中未被篡改（即完整性）。當資訊接收者收到報文後，就可以用傳送者的公鑰對數位簽章進行驗證。

在數位簽章中有重要作用的數字指紋是通過一類特殊的雜湊函式（HASH函式）生成的。對這些HASH函式的特殊要求是：

接受的輸入報文資料沒有長度限制；
對任何輸入報文資料生成固定長度的摘要（數字指紋）輸出；
從報文能方便地算出摘要；
難以對指定的摘要生成一個報文，而由該報文可以算出該指定的摘要；
兩個不同的報文難以生成具有相同的摘要。

數位憑證[編輯]

數位憑證為實現雙方安全通訊提供電子認證。在網際網路、公司內部網路或外部網中，使用數位憑證實現身分辨識和電子資訊加密。數位憑證中含有金鑰對（公鑰和私鑰）所有者的辨識資訊，通過驗證辨識資訊的真偽實現對憑證持有者身分的認證。

數位身分認證原理[編輯]

若註冊者認定一個人的身分，是通過註冊者信任的另外一個人來進行的。註冊者信任的那個人就是身分認證機構（可以是一個自然人）。把數位身分比喻成一個證件，那麼數位憑證就是身分認證機構蓋在數位身分證上的一個章或印（或者說加在數位身分證上的一個簽章），這一行為表示身分認證機構已認定這個人。

身分認證機構是人們註冊公鑰的機構。註冊之後，身分認證機構就向註冊者發一數位憑證，也就是說在註冊者的數位身分證上加簽。服務有免費，也有收費。身分認證機構也可以是一個自然人，就如PGP和GPG系統所倡導的。

參見[編輯]

擴充驗證憑證

參考資料[編輯]

^ "Mozilla Included CA Certificate List — Mozilla". Mozilla.org. Archived from the original on 2013-08-04. Retrieved 2014-06-11.
^ Zakir Durumeric; James Kasten; Michael Bailey; J. Alex Halderman (12 September 2013). "Analysis of the HTTPS Certificate Ecosystem" (PDF). The Internet Measurement Conference. SIGCOMM. Archived (PDF) from the original on 22 December 2013. Retrieved 20 December 2013.
^ "What is SSL Certificate?". Archived from the original on 2015-11-03. Retrieved 2015-10-16.
^ "webtrust". webtrust. Archived from the original on 2013-08-18. Retrieved 2013-03-02.
^ Kirk Hall (April 2013). "Standards and Industry Regulations Applicable to Certification Authorities" (PDF). Trend Micro. Archived (PDF) from the original on 2016-03-04. Retrieved 2014-06-11.
^ "CA:IncludedCAs - MozillaWiki". wiki.mozilla.org. Archived from the original on 2017-03-25. Retrieved 2017-03-18.
^ "Security with HTTPS and SSL". developer.android.com. Archived from the original on 2017-07-08. Retrieved 2017-06-09.

外部連結[編輯]

開放式目錄計劃中和Certificate authorities相關的內容
Certificate Authority Reviews
認證中心國別一覽^{[永久失效連結]}
How secure is HTTPS today? How often is it attacked?, Electronic Frontier Foundation (25 October 2011)

[1] "Mozilla Included CA Certificate List — Mozilla". Mozilla.org. Archived from the original on 2013-08-04. Retrieved 2014-06-11.

[2] Zakir Durumeric; James Kasten; Michael Bailey; J. Alex Halderman (12 September 2013). "Analysis of the HTTPS Certificate Ecosystem" (PDF). The Internet Measurement Conference. SIGCOMM. Archived (PDF) from the original on 22 December 2013. Retrieved 20 December 2013.

[3] "What is SSL Certificate?". Archived from the original on 2015-11-03. Retrieved 2015-10-16.

[4] "webtrust". webtrust. Archived from the original on 2013-08-18. Retrieved 2013-03-02.

[5] Kirk Hall (April 2013). "Standards and Industry Regulations Applicable to Certification Authorities" (PDF). Trend Micro. Archived (PDF) from the original on 2016-03-04. Retrieved 2014-06-11.

[6] "CA:IncludedCAs - MozillaWiki". wiki.mozilla.org. Archived from the original on 2017-03-25. Retrieved 2017-03-18.

[7] "Security with HTTPS and SSL". developer.android.com. Archived from the original on 2017-07-08. Retrieved 2017-06-09.

[1]

[2]

[3]

[4]

[5]

[6]

[7]