根證書(shū)和中間證書(shū)有什么區(qū)別？根證書(shū)與中間證書(shū)的比較歸結(jié)為它們?cè)谛湃捂溨械膶哟谓Y(jié)構(gòu)位置。沒(méi)有根證書(shū)或根CA，就不會(huì)有中間證書(shū)或服務(wù)器證書(shū)。在本中，小編給大家詳細(xì)解釋下。

一、什么是根SSL證書(shū)？

根SSL證書(shū)位于信任層次結(jié)構(gòu)的頂部，是公鑰基礎(chǔ)設(shè)施的支柱。根SSL 證書(shū)由受信任的證書(shū)頒發(fā)機(jī)構(gòu)簽署。簡(jiǎn)而言之，瀏覽器和應(yīng)用程序，因?yàn)樗鼈冊(cè)诎惭b包中包含根存儲(chǔ)。

根存儲(chǔ)是來(lái)自各種CA的預(yù)下載的受信任根證書(shū)的列表。例如，如果 CA根證書(shū)未包含在Google的根存儲(chǔ)中，Chrome會(huì)將使用該CA的網(wǎng)站標(biāo)記為不安全。

根證書(shū)用于頒發(fā)其他證書(shū)。如果私有根密鑰被盜，網(wǎng)絡(luò)罪犯就會(huì)偽造他們自己的可信證書(shū)。因此，所有由被黑CA簽署的現(xiàn)有證書(shū)都必須被撤銷。如果根證書(shū)出現(xiàn)問(wèn)題，CA會(huì)迅速?gòu)乃懈鎯?chǔ)中刪除并不再存在。

為避免不可想象的情況，CA使用嚴(yán)格的安全程序。它們將CA密鑰存儲(chǔ)在一個(gè)獨(dú)特的硬件安全模塊中。此外，物理計(jì)算設(shè)備位于帶鋼門和防護(hù)裝置的上鎖保險(xiǎn)庫(kù)中。

二、什么是中間SSL證書(shū)？

直接從根證書(shū)向最終用戶頒發(fā)SSL證書(shū)太危險(xiǎn)了。為了進(jìn)一步保護(hù)自己，CA提出了另一層安全措施——中間證書(shū)。

根CA使用其私鑰簽署中間根，反過(guò)來(lái)，中間CA使用其私鑰向公眾頒發(fā)SSL證書(shū)。一個(gè)或多個(gè)中間證書(shū)（一些CA在根證書(shū)和最終用戶證書(shū)之間使用多個(gè)中間證書(shū)）充當(dāng)信任鏈接。

瀏覽器需要它們來(lái)識(shí)別根CA并接受服務(wù)器證書(shū)。這就是為什么我們的SSL安裝文件夾可能包含一個(gè)中間證書(shū)以及我們的主要證書(shū)。中間證書(shū)的有效期也比最終用戶SSL證書(shū)長(zhǎng)，盡管它比根證書(shū)的有效期短。

三、根證書(shū)和中間證書(shū)的區(qū)別：

1、他們的整體價(jià)值

根證書(shū)是整個(gè)SSL頒發(fā)過(guò)程的核心。如果根證書(shū)遭到破壞，則破壞可能會(huì)使頒發(fā)它的CA破產(chǎn)。另一方面，中間證書(shū)雖然也很重要，但最終只是中間件，在信任鏈中的權(quán)重較小。

2、數(shù)字簽名序列

根證書(shū)使用私鑰簽署中間證書(shū)，而后者使用相同的密鑰簽署其他中間證書(shū)和服務(wù)器證書(shū)。

3、發(fā)行程序

證書(shū)頒發(fā)機(jī)構(gòu)簽署根證書(shū)，然后將其包含在各種應(yīng)用程序和程序的根存儲(chǔ)中。為了更好地保護(hù)其根證書(shū)，CA使用中間證書(shū)充當(dāng)根證書(shū)和服務(wù)器證書(shū)之間的“中間人”。

4、壽命

根證書(shū)的有效期長(zhǎng)達(dá)10到20年，而出于安全原因，中間證書(shū)的有效期較短。當(dāng)我們?cè)谛湃捂溨幸苿?dòng)時(shí)，SSL有效性會(huì)降低，最終用戶證書(shū)只有一年的生命周期。

5、存儲(chǔ)協(xié)議

根證書(shū)駐留在防彈硬件安全模塊中，在靜止的門后，并在24/7守衛(wèi)監(jiān)督下。至于中間證書(shū)，它們存儲(chǔ)在我們服務(wù)器上的安裝目錄中。

以上是根證書(shū)和中間證書(shū)的區(qū)別，希望能幫助到大家參考！