什么是 X.509 加密证书？

    SSL/TLS X.509 证书是用于安全套接字层 (SSL)或传输层安全性 (TLS)的数字文件。SSL/TLS 证书是 X.509 证书类型之一，或使用 X.509 标准的一种公钥证书。X.509 证书包含公钥和主机名、组织或个人的身份。

    首先，证书有助于确认和验证主机或网站的身份。它包含验证主机或网站身份信息真实性的详细信息。因此，通过单击显示的挂锁或检查信任标记，证书链的详细信息会告诉您证书颁发的来源。

    此外，它还可以加密通过网站传输的数据。通过在传输过程中加密数据，通过网站共享的任何敏感信息都受到保护，不会被指定收件人以外的任何人拦截和解码。当 SSL/TLS 证书由信誉良好的证书颁发机构 (CA)授予时，其可信度会大大提高。这些机构受有关获得 SSL 证书资格的严格法规和准则的约束。因此，拥有由公认 CA 颁发的有效 SSL 证书可提高信任级别。证书由证书颁发机构 (CA) 认可或由另一个认证机构验证，使证书持有者能够使用公钥与另一个实体建立安全连接或验证已使用匹配私钥进行数字签名的文档。

    某些 X.509 SSL/TLS 证书是自签名的，这些证书不受面向公众的应用程序信任。因此，它们主要用于加密和验证组织网络内的数据。

    SSL/TLS 证书是具有扩展密钥用法的 X.509 证书：服务器身份验证。“扩展密钥用法”扩展列出了使用该证书的实体的“角色”。换句话说，实体必须仅将 SSL/TLS 证书用于服务器身份验证，而不能用于其他任何用途。否则，该实体可能会违反颁发 CA 的政策。

    还有其他常见类型的 X.509 证书，如客户端身份验证和代码签名 。这些文件构成了加密和身份验证方案的基础。

X.509 证书如何工作？

    由于 SSL/TLS 证书支持加密，因此它们是超文本传输协议安全 (HTTPS) 不可或缺的一部分，HTTPS 是一种对网站和浏览器之间交换的所有通信进行加密的协议。

    一旦浏览器找到需要安全保护的网页，HTTPS 就会开

    来自 Web 服务器的响应包括其公钥和数字证书。

    接下来，浏览器验证该证书是否由证书颁发机构 (CA) 签名。

    验证成功后，浏览器使用服务器的公钥来隐藏随机选择的对称加密密钥，将其与 URL 和其他 HTTP 数据（全部以加密形式）捆绑在一起，然后将其转发到服务器。

    如果公钥通过了真实性检查，服务器就会使用其私钥解密对称加密密钥、URL 和 HTTP 数据，然后发送 HTML 内容和 HTTP 数据，现在两者都使用对称密钥进行保护。

    最后，这个对称密钥赋予浏览器解密 HTTP 数据的能力，使其对用户可见。

如何检查站点是否存在有效的安全连接？

    缺乏 SSL/TLS 保护的典型网站会在浏览器地址栏中 URL 开头显示“HTTP”，表示“超文本传输协议”，这是通过互联网发送数据的传统方法。相反，受 SSL 证书保护的网站会在其地址前加上“HTTPS”，表示“超文本传输协议安全”。

    每个浏览器显示安全连接的方式略有不同。但对于所有浏览器，您都可以通过在地址栏中查找“HTTPS”来检查所访问的网站是否使用 HTTPS。

    某些浏览器还可能在网址旁边显示一个挂锁图标。单击此图标通常会显示持有 SSL/TLS 证书的实体的名称。如果您的浏览器识别了扩展验证 (EV) SSL 证书，此图标将变为绿色。如果信息不匹配或证书已过期，浏览器将显示警告或错误通知。此外，浏览器将所有 HTTP 站点标记为不安全已变得很普遍。

    如果证书已过期，Web 浏览器将显示错误消息或警告。这些警告可能会导致访问者离开网站。为了防止这种情况发生，拥有网站并使用 HTTPS 的组织需要管理其证书，并确保他们想要保留的证书不会过期。