当访问https网站的时候,偶尔会遇到浏览器提示"此网站的数字证书有问题"以及"此网站出具的数字证书已过期或还未生效",https链接被划上了一条斜红线,同时浏览器的地址栏的绿色安全锁也没有出现,这是什么原因呢?网站会不会有安全隐患呢?
https在http的基础上增加了数据加密,保障个人信息的安全性,采用443端口,https应用了PKI(公钥基础设施)技术,PKI是由公钥加密技术、数字证书、CA和RA组成的。
公钥加密技术
加密算法分为对称性加密和非对称加密算法,其中非对称性加密是通信双方各自产生一对公私钥,由各自交换公钥,用对方的公钥加密,自己的私钥解密来相互通信,公钥和私钥为互相加解密关系且公私钥不可相互逆推。
数字证书
由于通信的双方并不能确保接受到的公钥是否是第三者伪造的,所以这时候需要数字证书来确保公钥的合法性,数字证书中包含:(1)使用者的公钥值;(2)使用者的标识信息(如名称和电子邮件地址);(3)有效期(证书的有效时间);(4)颁发者信息标识;(5)颁发者数字签名。
CA和RA
CA(Certificate Of Authority),意为认证中心,作用是CA接收数字证书申请并认证申请者的真实身份后,把申请者的公钥、身份信息、数字证书的有效期等信息作为消息原文,进行hash生成摘要,并用CA的私钥加密进行签名;数字签名与证书拥有者的公钥、身份信息、证书有效期等其他信息共同组成数字证书。RA就是证书注册审批系统(Register Authority),该系统具有证书的申请、审批、下载、OCSP、LDAP等一系列功能,为整个机构体系提供电子认证服务。RA作为CA认证体系中的一部分,能够直接从CA提供者那里继承CA认证的合法性。能够使客户以自己的名义发放证书,便于客户开展工作。
证书的申请过程一般包括一下几个方面:
用户申请:用户获取CA的数字证书(根证书),与安全服务器建立连接;生成自己的公钥和私钥,将公钥和自己的身份信息提交给安全服务器,安全服务器将用户的申请信息传送给RA服务器;RA审核:RA收到用户的申请,用户向RA证明自己的身份,RA进行核对。如果RA同意用户申请证书的请求,则对证书申请信息做数字签名;否则拒绝用户的申请;CA发行证书:RA将用户申请和RA签名传输给CA,CA对RA数字签名做认证,如果验证通过,则同意用户请求,颁发证书,然后将证书输出。如果验证不通过,则拒绝证书申请;RA转发证书:RA从CA得到新的证书,首先将证书输出到LDAP服务器以提供目录浏览,再通知用户证书发行成功,告知证书序列号,到指定的网址去下载证书;用户证书获取:用户使用证书序列号去指定网址下载自己的数字证书,只有持有与申请时提交的公钥配对的私钥才能下载成功。综上所述访问网站的时候数字证书问题有可能是以下原因造成的:
当前电脑系统时间不对,所有的数字证书都有颁发日期和截止日期,电脑系统时间在证书有效时间区间之外就有可能导致浏览器提示网站数字证书已过期或还未生效。网站的https安全证书确实已经过期,根据最新的数字证书签发国际标准,数字证书颁发不能超过39个月。站点引用其它部署了数字证书的外链,如果这个外链的证书过期了也会提示相应的错误。浏览网站证书已过期有问题吗 某个网页打不开证书过期怎么办
