在互联网安全通信方式上，目前用的最多的就是https配合ssl和数字证书来保证传输和认证安全了，而数字证书在ssl传输过程中扮演着身份认证和密钥分发的功能。那么究竟什么是数字证书呢？

什么是数字证书？

简而言之数字证书是一种网络上证明持有者身份的文件，同时还包含有公钥。一方面，既然是文件那么就有可能“伪造”，因此，证书的真伪就需要一个验证方式；另一方面，验证方需要认同这种验证方式。

数字证书可以由国际上公认的证书机构颁发，这些机构是公认的信任机构，一些验证证书的客户端应用程序：比如浏览器，邮件客户端等，对于这些机构颁发的证书完全信任。当然想要请这些机构颁发证书可是要付“到了斯”的，通常在windows部署系统的时候会让客户端安装我们自己服务器的根证书，这样客户端同样可以信任我们的证书。而客户端程序通常通过维护一个“根受信任机构列表”，当收到一个证书时，查看这个证书是否是该列表中的机构颁发的，如果是则这个证书是可信任的，否则就不信任。

数字证书的信任问题？

作为一个https的站点需要与一个数字证书绑定，无论如何，数字证书总是需要一个机构颁发的，这个机构可以是国际公认的证书机构，也可以是任何一台安装有证书服务的计算机。客户端是否能够信任这个站点的证书，首先取决于客户端程序是否导入了证书颁发者的根证书

有时一个证书机构可能授权另一个证书机构颁发证书，这样就出现了证书链。IE浏览器在验证证书的时候主要从下面三个方面考察，只要有任何一个不满足都将给出警告

证书的颁发者是否在“根受信任的证书颁发机构列表”中

证书是否过期？

证书的持有者是否和访问的网站一致，另外，浏览器还会定期查看证书颁发者公布的“证书吊销列表”，如果某个证书虽然符合上述条件，但是被它的颁发者在“证书吊销列表”中列出，那么也将给出警告。每个证书的CRL Distribution Point字段显示了查看这个列表的url。尽管如此，windows对于这个列表是“不敏感”的，也就是说windows的api会缓存这个列表，直到设置的缓存过期才会再从CRL Distribution Point中下载新的列表。目前，只能通过在证书颁发服务端尽量小的设置这个有效期（最小1天），来尽量使windows的客户端“敏感”些。返回搜狐，查看更多

责任编辑：