信任链,即数字证书链,是指从根证书开始,通过层层信任,使持有终端实体证书的人可以获得委托信任,以证明身份。基于信息安全的考虑,在进行电子商务或使用政府服务时,交易对方的用户基于根证书,凭借对发证机构的信任,相信持有信任链端点的证书持有者确实是同一个人,并通过公钥加密保证通信的保密性,通过数字签名保证内容的准确性,以及保证对方的不可抵赖性。
公钥基础设施在X.509和RFC 5280中规定了使用信任链的认证路径验证算法。其中,证书撤销列表和OCSP检查手中的证书是否在过期前被证书机构撤销。另一方面,在颁发新的证书时,证书颁发机构也可以通过证书透明化来公布证书颁发的记录,供公众查询,以防止其他机构在未经当事人同意的情况下颁发虚假的证书来伪造其身份。
背景介绍在互联网上,任何组织都可以注册域名,设立服务器,供广大公众连接和交流,进行电子商务或使用政府服务。虽然公钥加密可以保证通信的保密性,数字签名可以保证内容的准确性,保证对方无法否认,但如果数字证书没有经过可信的数字证书认证机构的数字签名(即自签名证书),对方的真实身份仍然值得怀疑(除非通信双方已经认识对方,并事先通过安全渠道交换了数字证书)。
数字证书认证机构在公钥密码基础设施中起着非常重要的作用,计算机软件安装并信任其根证书后,根据其私钥签发的下级证书可以自动被信任(基于数字签名),如果是中介证书,那么下级的终端实体证书也自动被信任,这就构成了一个信任链。
京公网安备 11010802030320号