一般我们都知道申请SSL证书只能使用CA机构发布的才能被浏览器识别为安全的链接并且有小锁的标志,如果使用自签名SSL证书则依旧会被认为是不安全的链接或者SSL证书未被信任等做错误,需要访问手动点击“继续访问”才能打开链接。那么,为什么CA机构的证书就能被浏览器识别而自签名的就不行呢?本文简要说说CA机构的SSL证书被浏览器信任的过程。
CA机构的SSL证书被浏览器信任的过程一般如下:
- CA机构向浏览器厂商提交证书申请,提供证书的签发机构、证书类型等相关信息。
- 浏览器厂商对CA机构进行审核,并进行技术测试,以确保证书的可靠性和安全性。
- 如果审核通过,浏览器厂商将CA机构的证书信息添加到浏览器的信任列表中。
- 当浏览器访问一个使用该CA机构签发的SSL证书的网站时,浏览器会检查证书是否存在于信任列表中。
- 如果证书存在于信任列表中,则浏览器会验证证书是否有效、是否过期,以及证书中的域名是否与网站的域名匹配。
- 如果验证通过,则浏览器会将网站标记为安全,显示一个锁形状的图标,同时使用HTTPS协议与网站进行通信,以确保通信过程的安全性。
需要注意的是,CA机构的证书只能被浏览器信任,如果使用其他未经信任的浏览器访问该网站,可能会收到不信任证书的警告。
简单地说,就是CA机构的证书信息提前已经导入了浏览器,可以理解这是CA机构与主流浏览器的Py交易。例如在360浏览器里面,就可以看到“受信任的根证书颁发机构”就可以看到哪些证书是被信任的了。我们的自签名SSL证书不被新人,是新人证书里不含有在浏览器中的信任信息。
目前国内的品牌研发也是处于被动的状态,例如在查税网站里,就需要手动安装根证书才能正常查发票真伪。
JoySSL是网盾数科自研推出的新一代https数字证书,也是目前为数不多的中国自主品牌SSL证书。JoySSL携手全球可信顶级根,基于国内服务器验证签发,安全可信、完美兼容且更加稳定快速。品牌自主,全球可信。
付费版的我个人觉得也是非常良心了,价格不贵。单域名的只要一百多块钱一年,并且提供全程的售后。此外,JoySSL还提供了许多其他的免费SSL证书:
SSL证书申请_SSL证书购买_https证书申请_https证书购买-JoySSL
