什么是数字证书？传输过程中的信任问题！

在互联网安全通信方式上，目前用的最多的就是https配合ssl和数字证书来保证传输和认证安全了，而数字证书在ssl传输过程中扮演着身份认证和密钥分发的功能。那么究竟什么是数字证书呢？

什么是数字证书？简而言之数字证书是一种网络上证明持有者身份的文件什么是数字证书，同时还包含有公钥。一方面，既然是文件那么就有可能“伪造”，因此，证书的真伪就需要一个验证方式；另一方面，验证方需要认同这种验证方式。

数字证书可以由国际上公认的证书机构颁发，这些机构是公认的信任机构什么是数字证书，一些验证证书的客户端应用程序：比如浏览器，邮件客户端等，对于这些机构颁发的证书完全信任。当然想要请这些机构颁发证书可是要付“到了斯”的，通常在windows部署系统的时候会让客户端安装我们自己服务器的根证书，这样客户端同样可以信任我们的证书。而客户端程序通常通过维护一个“根受信任机构列表”，当收到一个证书时，查看这个证书是否是该列表中的机构颁发的，如果是则这个证书是可信任的，否则就不信任。

数字证书的信任问题

作为一个https的站点需要与一个数字证书绑定，无论如何，数字证书总是需要一个机构颁发的，这个机构可以是国际公认的证书机构，也可以是任何一台安装有证书服务的计算机。客户端是否能够信任这个站点的证书，首先取决于客户端程序是否导入了证书颁发者的根证书。下图说明了这个流程：

有时一个证书机构可能授权另一个证书机构颁发证书，这样就出现了证书链。IE浏览器在验证证书的时候主要从下面三个方面考察，只要有任何一个不满足都将给出警告

证书的颁发者是否在“根受信任的证书颁发机构列表”中

证书是否过期

证书的持有者是否和访问的网站一致

另外，浏览器还会定期查看证书颁发者公布的“证书吊销列表”，如果某个证书虽然符合上述条件，但是被它的颁发者在“证书吊销列表”中列出，那么也将给出警告。每个证书的CRL Distribution Point字段显示了查看这个列表的url。尽管如此，windows对于这个列表是“不敏感”的，也就是说windows的api会缓存这个列表，直到设置的缓存过期才会再从CRL Distribution Point中下载新的列表。目前，只能通过在证书颁发服务端尽量小的设置这个有效期（最小1天），来尽量使windows的客户端“敏感”些。

如果用户遇到的问题不能解决，可通过wosign官网客服寻求帮助，凡是选择wosign ssl证书的网站用户，wosign可提供免费一对一的ssl证书技术部署支持，免除后顾之忧。