不一样,CA证书是一个行业领域名称,类似于交通领域。证书颁发机构 (CA) 证书服务和SSL证书并不相同。证书颁发机构(CA)和SSL证书是相互关联的实体。CA证书服务是指验证网站或服务器身份并颁发数字证书的组织或服务。SSL证书本身就是数字证书,用于加密通信并向用户证明网站的身份。
了解SSL证书基本知识
SSL证书主要让网站或者WEB项目支持HTTPS协议,提供信任服务,然而SSL证书的加密服务其实这项技术已经公开,SSL证书的最大价值是信任率,而非技术。
目前的主流浏览器仅支持两种算法的SSL证书,分别是RSA、ECC算法,其中我们日常看到的比如:优酷、腾讯、爱奇艺、抖音、小红书、淘宝、京东等采用的是RSA算法为主。
SSL证书要被世界主流浏览器信任,需要SSL证书厂家的根证书加入Microsoft、Apple、Mozilla、Google跟证书目录,如果这是一家近十年成立的CA机构,即使加入也不能让已经发布的历史版本的操作系统及浏览器信任,导致全世界可信的CA机构目前仅有4家。
由于世界主流浏览器和操作系统主要在国外,另一种原因是主流算法最早1977年就在国外提出,他们这些组织及用户都在CA/B论坛,成员(会议方式)投票形成的认证规则,所以他们不受到任何国家或者主体影响,所以他们也无需办理中国的《电子政务电子认证服务机构资质证书》、《电子认证服务许可证》、《电子认证服务使用密码许可证》等和SSL证书无关的资质,这是因为这些资质对于国际算法的SSL证书而言没有直接联系,因为他们拥有自己的安全体系及认证方式。
目前SSL证书可信CA机构(全球)已经透明,在中国国产SSL证书虽然有,由于兼容性无法达到历史及现在版本的系统及浏览器支持99%以上,导致中国包括中国台湾仍然无法真正的成为主流SSL证书,除非收购的方式买下一家成熟的SSL证书厂家,不然永远都不会有。
注意:中国国密算法,不属于国际主流算法,该算法仅支持小众公司开发的国密浏览器使用,但不能确保所有国密算法的浏览器都支持,因为他们都有自己的根证书筛选方式。该算法目前只是在建立在内部网络存在为主,应用范围极小,由于算法技术和国际算法ECC相同,导致各个银行或金融单位宁愿选择ECC算法,也不会考虑国密算法,目前国密算法由于各个提供商认证规范不统一,随时可以不经过用户签发一本SSL证书,在加上SSL证书透明日志存在疑问,导致安全上担忧也是当前国密算法面临的问题。
CA证书认证服务
Certificate Authority, 简称CA,中文:证书颁发机构。
CA机构和CA证书认证服务有所不同,CA机构颁发数字证书的组织(一个领域),但并不是所有的CA机构都具备颁发可以信任的数字证书,因为个人也可以是CA机构,只是信任范围不同或者证书作用类型不同。
然而数字证书分为很多产品,比如:代码签名证书、电子邮件证书、文件签名证书、身份验证证书等,这类似于汽车分为:新能源汽车、油车、自行车、摩托车、玩具车,我们会发现他们的相似之处都可以生产车,但人们的常识告诉我们,自行车和汽车属于不同行业,但都属于交通工具制造行业的子领域。
CA证书认证服务,可以提供的服务在中国非常多,甚至任何个人都可以提供这项服务,但电子认证、加密类、移动安全、扩展认证、密码类范围大到无边,导致你可以通过在线的方式在线生成,但具体认证什么,信任度,功能作用,数字证书这些都是疑问?
总结
如果你在选择CA证书认证类似你在要的是某一个领域,甚至都没有明确他的作用,在实际采购或者发布需求中存在不规范或刻意隐瞒真正需求的嫌疑。
CA证书认证服务范围是非常大的,因为一个这是一个较大的领域,如果你需要选择这类产品,你应该明确一个行业大类和具体的分类型号。而不是标题写着:交通领域、医疗卫生、文化创意。
如果你希望获得中国国产SSL证书,你应该说明要求国产CA机构根证书并且要求证书链不接国外根证书的要求,并且明确兼容性,当然我需要告诉你的是目前真正的国产SSL证书兼容性最高的是CFCA,即便如此他永远都无法支持古老的浏览器和操作系统的信任,其它的国产SSL证书他并不是真正的国产,他们主要的欠缺的是根证书兼容性或没有自己的根证书。
如果你在了解SSL证书,你应该学习《SSL证书行业从业规范建议》。
热门跟贴