CA的主要职责包括哪些工作?
CA(Certificate Authority,证书颁发机构)的核心职责是构建并维护互联网信任体系的基石。它不单纯是“发证单位”,而是承担身份核验、密钥生命周期管理、证书吊销响应与信任锚点分发等关键职能。所有主流浏览器和操作系统信任的SSL证书,其可信性均源于CA对RFC 5280与CA/B Forum Baseline Requirements的严格遵循。
身份验证与证书签发
CA必须对申请者执行分级验证:DV证书仅需域控验证(DCV),通过DNS TXT记录、HTTP文件或邮箱完成;OV/EV证书则强制要求组织真实性核验——需调用国家企业信用信息公示系统、邓白氏编码库或第三方商业数据库交叉比对,并辅以人工电话回访。我们曾审计某金融客户EV证书申请,CA在48小时内完成3次不同号码的语音验证及年报数据比对,全程留痕可追溯。
证书链管理与信任锚分发
CA自身不直接向终端用户签发证书,而是通过中间CA(Intermediate CA)分层签发,形成完整证书链。根证书(Root CA)被预置在操作系统/浏览器信任库中,如Windows Trusted Root Program或Mozilla CA Certificate Program。一旦根证书私钥泄露或策略违规,将触发整个信任链失效——2021年DigiCert主动轮换根证书即为此类高危操作,需提前9个月协调全生态更新。
吊销机制与实时状态响应
CA必须提供两种吊销状态查询通道:CRL(证书吊销列表)与OCSP(在线证书状态协议)。现代部署强烈推荐OCSP Stapling,因传统OCSP需客户端直连CA服务器,存在隐私泄露与延迟风险。我们在某政务云项目中发现,未启用Stapling导致TLS握手平均增加320ms延迟,且部分国产浏览器因OCSP超时直接拒绝连接。
合规审计与透明日志(CT Log)
自2018年起,所有公开信任的SSL证书必须记录至Certificate Transparency日志,CA需每日向多个独立CT日志服务器提交证书哈希。这是防止恶意签发的关键防线。TopSSL平台对接的Sectigo、锐安信等CA均支持自动CT日志提交,但需注意:Let’s Encrypt证书虽免费,其CT日志覆盖度在部分老旧Android设备上仍存在兼容缺口。
| 维度 | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 验证强度 | CA/B Forum BR v2.0 Section 3.2 | DV证书满足基础加密需求,但企业官网建议选用OV SSL证书,避免因缺乏组织信息导致用户信任流失 |
| 证书链完整性 | RFC 5280 Section 6.1 | 部署时务必下载完整证书链(含中间证书),使用SSL证书链下载工具校验,避免Nginx/Apache因缺失中间证书导致移动端信任失败 |
| 吊销响应时效 | CA/B Forum BR v2.0 Section 4.9 | 紧急吊销需在1小时内同步至主流CT日志,生产环境应配置OCSP Stapling并定期用SSL证书检查工具验证状态 |
常见问题
Q:CA是否可以签发IP地址SSL证书? A:可以,但仅限于内网IP或特定场景。Let’s Encrypt自2023年起支持公网IPv4/IPv6证书,而国产CA如华测、CFCA提供符合国密标准的IP证书,需单独申请内网IP地址申请SSL证书并配置HTTPS教程。
Q:浏览器不信任某CA签发的证书,一定是CA有问题吗? A:不一定。常见原因为:根证书未预置(如新成立的国产CA)、证书链未正确部署、系统时间错误或本地安全策略拦截。建议先用SSL证书验证方法定位问题层级。
Q:CA能否撤销已签发但未吊销的证书? A:不能。证书一旦签发即不可逆,唯一有效手段是将其加入CRL或OCSP响应为revoked状态。因此私钥保护是CA与用户的共同责任,我们要求客户私钥必须存储于HSM硬件模块中。
京公网安备11010502031690号
网站经营企业工商营业执照
