當訪問https網站的時候,偶爾會遇到瀏覽器提示"此網站的數字證書有問題"以及"此網站出具的數字證書已過期或還未生效",https鏈接被劃上了一條斜紅線,同時瀏覽器的地址欄的綠色安全鎖也沒有出現,這是什麼原因呢?網站會不會有安全隱患呢?
https在http的基礎上增加了數據加密,保障個人信息的安全性,採用443端口,https應用了PKI(公鑰基礎設施)技術,PKI是由公鑰加密技術、數字證書、CA和RA組成的。
公鑰加密技術
加密算法分為對稱性加密和非對稱加密算法,其中非對稱性加密是通信雙方各自產生一對公私鑰,由各自交換公鑰,用對方的公鑰加密,自己的私鑰解密來相互通信,公鑰和私鑰為互相加解密關係且公私鑰不可相互逆推。
數字證書
由於通信的雙方並不能確保接受到的公鑰是否是第三者偽造的,所以這時候需要數字證書來確保公鑰的合法性,數字證書中包含:
(1)使用者的公鑰值;
(2)使用者的標識信息(如名稱和電子郵件地址);
(3)有效期(證書的有效時間);
(4)頒發者信息標識;
(5)頒發者數字簽名。
CA和RA
CA(Certificate Of Authority),意為認證中心,作用是CA接收數字證書申請並認證申請者的真實身份後,把申請者的公鑰、身份信息、數字證書的有效期等信息作為消息原文,進行hash生成摘要,並用CA的私鑰加密進行簽名;數字簽名與證書擁有者的公鑰、身份信息、證書有效期等其他信息共同組成數字證書。RA就是證書註冊審批系統(Register Authority),該系統具有證書的申請、審批、下載、OCSP、LDAP等一系列功能,為整個機構體系提供電子認證服務。RA作為CA認證體系中的一部分,能夠直接從CA提供者那裡繼承CA認證的合法性。能夠使客戶以自己的名義發放證書,便於客戶開展工作。
證書的申請過程一般包括一下幾個方面:
- 用戶申請:用戶獲取CA的數字證書(根證書),與安全服務器建立連接;生成自己的公鑰和私鑰,將公鑰和自己的身份信息提交給安全服務器,安全服務器將用戶的申請信息傳送給RA服務器;
- RA審核:RA收到用戶的申請,用戶向RA證明自己的身份,RA進行核對。如果RA同意用戶申請證書的請求,則對證書申請信息做數字簽名;否則拒絕用戶的申請;
- CA發行證書:RA將用戶申請和RA簽名傳輸給CA,CA對RA數字簽名做認證,如果驗證通過,則同意用戶請求,頒發證書,然後將證書輸出。如果驗證不通過,則拒絕證書申請;
- RA轉發證書:RA從CA得到新的證書,首先將證書輸出到LDAP服務器以提供目錄瀏覽,再通知用戶證書發行成功,告知證書序列號,到指定的網址去下載證書;
- 用戶證書獲取:用戶使用證書序列號去指定網址下載自己的數字證書,只有持有與申請時提交的公鑰配對的私鑰才能下載成功。
綜上所述訪問網站的時候數字證書問題有可能是以下原因造成的:
- 當前電腦系統時間不對,所有的數字證書都有頒發日期和截止日期,電腦系統時間在證書有效時間區間之外就有可能導致瀏覽器提示網站數字證書已過期或還未生效。
- 網站的https安全證書確實已經過期,根據最新的數字證書籤發國際標準,數字證書頒發不能超過39個月。
- 站點引用其它部署了數字證書的外鏈,如果這個外鏈的證書過期了也會提示相應的錯誤。
