国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

　最近1-2周，關(guān)于CNNIC的CA證書問題，網(wǎng)上搞得沸沸揚(yáng)揚(yáng)。但是俺發(fā)覺，即使是一些IT行業(yè)的技術(shù)人員，也搞不太明白該問題的嚴(yán)重性（至于不懂技術(shù)的傻瓜用戶，就更甭提了）。主要在于CA證書是一個(gè)相對(duì)專業(yè)的東東，大伙兒平時(shí)接觸不多。
所以，俺打算寫3個(gè)帖子：第1個(gè)用來掃盲CA證書的基礎(chǔ)知識(shí)（也就是本帖）；第2個(gè)則用來揭露CNNIC這個(gè)老流氓的丑惡歷史（在“這里 ”）；第3個(gè)介紹如何CNNIC證書的危害及清除方法（在“這里 ”）。為了達(dá)到普及的效果，俺會(huì)盡量用比較淺顯，非技術(shù)的語言來講清楚這事兒。

★先說一個(gè)通俗的例子
考慮到證書體系的相關(guān)知識(shí)比較枯燥、晦澀。俺先拿一個(gè)通俗的例子來說事兒。

◇普通的介紹信
想必大伙兒都聽說過介紹信的例子吧？假設(shè)A公司的張三先生要到B公司去拜訪，但是B公司的所有人都不認(rèn)識(shí)他，他咋辦捏？常用的辦法是帶公司開的一張介紹信，在信中說：茲有張三先生前往貴公司辦理業(yè)務(wù)，請(qǐng)給予接洽 ......云云。然后在信上敲上A公司的公章。
張三先生到了B公司后，把介紹信遞給B公司的前臺(tái)李四小姐。李小姐一看介紹信上有A公司的公章，而且A公司是經(jīng)常和B公司有業(yè)務(wù)往來的，這位李小姐就相信張先生不是歹人了。
說到這，愛抬杠的同學(xué)會(huì)問了：萬一公章是偽造的，咋辦捏？在此，俺要先聲明，在本例子中，先假設(shè)公章是難以偽造的，否則俺的故事沒法說下去鳥。

◇引入中介機(jī)構(gòu)的介紹信
好，回到剛才的話題。如果和B公司有業(yè)務(wù)往來的公司很多，每個(gè)公司的公章都不同，那前臺(tái)就要懂得分辨各種公章，非常滴麻煩。所以，有某個(gè)中介公司C，發(fā)現(xiàn)了這個(gè)商機(jī)。C公司專門開設(shè)了一項(xiàng)“代理公章”的業(yè)務(wù)。
今后，A公司的業(yè)務(wù)員去B公司，需要帶2個(gè)介紹信：
介紹信1
含有C公司的公章及A公司的公章。并且特地注明：C公司信任A公司。
介紹信2
僅含有A公司的公章，然后寫上：茲有張三先生前往貴公司辦理業(yè)務(wù)，請(qǐng)給予接洽 ......云云。

某些不開竅的同學(xué)會(huì)問了，這樣不是增加麻煩了嗎？有啥好處捏？
主要的好處在于，對(duì)于接待公司的前臺(tái)，就不需要記住各個(gè)公司的公章分別是啥樣子的；他/她只要記住中介公司C的公章即可。
當(dāng)他/她拿到兩份介紹信之后，先對(duì)介紹信1的C公章，驗(yàn)明正身；確認(rèn)無誤之后，再比對(duì)介紹信1和介紹信2的兩個(gè)A公章是否一致。如果是一樣的，那就可以證明介紹信2是可以信任的了。

★相關(guān)專業(yè)術(shù)語的解釋
費(fèi)了不少口水，終于說完了一個(gè)俺自認(rèn)為比較通俗的例子。如果你聽到到這，還是想不明白這個(gè)例子在說啥，那后續(xù)的內(nèi)容，就不必浪費(fèi)時(shí)間聽了 :(
下面，俺就著上述的例子，把相關(guān)的名詞，作一些解釋。

◇什么是證書？
“證書”洋文也叫“digital certificate”或“public key certificate”（專業(yè)的解釋看“這里 ”）。
它是用來證明某某東西確實(shí)是某某東西的東西（是不是像繞口令？）。通俗地說，證書就好比例子里面的公章。通過公章，可以證明該介紹信確實(shí)是對(duì)應(yīng)的公司發(fā)出的。
理論上，人人都可以找個(gè)證書工具，自己做一個(gè)證書。那如何防止壞人自己制作證書出來騙人捏？請(qǐng)看后續(xù)CA的介紹。

◇什么是CA？
CA是Certificate Authority的縮寫，也叫“證書授權(quán)中心”。（專業(yè)的解釋看“這里 ”）
它是負(fù)責(zé)管理和簽發(fā)證書的第三方機(jī)構(gòu)，就好比例子里面的中介——C公司。一般來說，CA必須是所有行業(yè)和所有公眾都信任的、認(rèn)可的。因此它必須具有足夠的權(quán)威性。就好比A、B兩公司都必須信任C公司，才會(huì)找C公司作為公章的中介。

◇什么是CA證書？
CA證書，顧名思義，就是CA頒發(fā)的證書。
前面已經(jīng)說了，人人都可以找工具制作證書。但是你一個(gè)小破孩制作出來的證書是沒啥用處的。因?yàn)槟悴皇菣?quán)威的CA機(jī)關(guān)，你自己搞的證書不具有權(quán)威性。
這就好比上述的例子里，某個(gè)壞人自己刻了一個(gè)公章，蓋到介紹信上。但是別人一看，不是受信任 的中介公司的公章，就不予理睬。壞蛋的陰謀就不能得逞啦。
文本后續(xù)提及的證書，若無特殊說明，均指CA證書。

◇什么是證書之間的信任關(guān)系？
在俺的例子里談到，引入中介后，業(yè)務(wù)員要同時(shí)帶兩個(gè)介紹信。第一個(gè)介紹信包含了兩個(gè)公章，并注明，公章C信任公章A。證書間的信任關(guān)系，就和這個(gè)類似。就是用一個(gè)證書來證明另一個(gè)證書是真實(shí)可信滴。

◇什么是證書信任鏈？
實(shí)際上，證書之間的信任關(guān)系，是可以嵌套的。比如，C信任A1，A1信任A2，A2信任A3......這個(gè)叫做證書的信任鏈。只要你信任鏈上的頭一個(gè)證書，那后續(xù)的證書，都是可以信任滴。

◇什么是根證書？
“根證書”的洋文叫“root certificate”，專業(yè)的解釋看“這里 ”。為了說清楚根證書是咋回事，再來看個(gè)稍微復(fù)雜點(diǎn)的例子。
假設(shè)C證書信任A和B；然后A信任A1和A2；B信任B1和B2。則它們之間，構(gòu)成如下的一個(gè)樹形關(guān)系（一個(gè)倒立的樹）。

處于最頂上的樹根位置的那個(gè)證書，就是“根證書 ”。除了根證書，其它證書都要依靠上一級(jí)的證書，來證明自己。那誰來證明“根證書”可靠捏？實(shí)際上，根證書自己證明自己是可靠滴（或者換句話說，根證書是不需要被證明滴）。
聰明的同學(xué)此刻應(yīng)該意識(shí)到了：根證書是整個(gè)證書體系安全的根本。所以，如果某個(gè)證書體系中，根證書出了問題（不再可信了），那么所有被根證書所信任的其它證書，也就不再可信了。這個(gè)后果是相當(dāng)相當(dāng)?shù)螄?yán)重（簡直可以說是災(zāi)難性的），具體在下一個(gè)帖子里介紹。

★證書有啥用？
CA證書的作用有很多，俺為了節(jié)省口水，只列出常用的幾個(gè)。

◇驗(yàn)證網(wǎng)站是否可信（針對(duì)HTTPS）
通常，我們?nèi)绻L問某些敏感的網(wǎng)頁（比如用戶登錄的頁面），其協(xié)議都會(huì)使用HTTPS而不是HTTP。因?yàn)镠TTP協(xié)議是明文的，一旦有壞人在偷窺你的 網(wǎng)絡(luò)通訊，他/她就可以看到網(wǎng)絡(luò)通訊的內(nèi)容（比如你的密碼、銀行賬號(hào)、等）；而HTTPS是加密的協(xié)議，可以保證你的傳輸過程中，壞蛋無法偷窺。
但是，千萬不要以為，HTTPS協(xié)議有了加密，就可高枕無憂了。俺再舉一個(gè)例子來說明，光有加密是不夠滴。假設(shè)有一個(gè)壞人，搞了一個(gè)假的網(wǎng)銀的站點(diǎn)，然后誘騙你上這個(gè)站點(diǎn)。假設(shè)你又比較單純，一不留神，就把你的賬號(hào)，口令都輸入進(jìn)去了。那這個(gè)壞蛋的陰謀就得逞鳥。
為了防止壞人怎么干，HTTPS協(xié)議除了有加密的機(jī)制，還有一套證書的機(jī)制。通過證書來確保，某個(gè)站點(diǎn)確實(shí)就是某個(gè)站點(diǎn)。
有了證書之后，當(dāng)你的瀏覽器在訪問某個(gè)HTTPS網(wǎng)站時(shí)，會(huì)驗(yàn)證該站點(diǎn)上的CA證書（類似于驗(yàn)證介紹信的公章）。如果瀏覽器發(fā)現(xiàn)該證書沒有問題（證書被 某個(gè)根證書信任、證書上綁定的域名和該網(wǎng)站的域名一致、證書沒有過期），那么頁面就直接打開；否則的話，瀏覽器會(huì)給出一個(gè)警告，告訴你該網(wǎng)站的證書存在某 某問題，是否繼續(xù)訪問該站點(diǎn)？為了形象起見，下面給出IE和Firefox的抓圖：

大多數(shù)知名的網(wǎng)站，如果用了HTTPS協(xié)議，其證書都是可信的（也就不會(huì)出現(xiàn)上述警告）。所以，今后你如果上某個(gè)知名網(wǎng)站，發(fā)現(xiàn)瀏覽器跳出上述警告，你就要小心啦！

◇驗(yàn)證某文件是否可信（是否被篡改）
證書除了可以用來驗(yàn)證某個(gè)網(wǎng)站，還可以用來驗(yàn)證某個(gè)文件是否被篡改。具體是通過證書來制作文件的數(shù)字簽名。制作數(shù)字簽名的過程太專業(yè)，咱就不說了。后面專門告訴大家如何驗(yàn)證文件的數(shù)字簽名?？紤]到大多數(shù)人用Windows系統(tǒng)，俺就拿Windows的例子來說事兒。
比如，俺手頭有一個(gè)Firefox的安裝文件，由于該文件是帶有數(shù)字簽名，這時(shí)候，俺查看該文件的屬性，會(huì)看到如下的界面：

眼神好的同學(xué)，會(huì)看到上面有個(gè)“數(shù)字簽名 ”的標(biāo)簽頁。選擇該標(biāo)簽頁，看到如下界面：

一般來說，簽名列表中，有且僅有一個(gè)簽名。選中它，點(diǎn)“詳細(xì)信息 ”按鈕。跳出如下界面：

通常，這個(gè)界面會(huì)顯示一行字（圖中紅圈標(biāo)出）：“該數(shù)字簽名正常”。說明該文件從出廠到你手里，中途沒有被篡改過（是原裝滴、是純潔滴）。

如果該文件，被篡改過了（比如，感染了病毒、被注入木馬），那剛才那個(gè)對(duì)話框會(huì)變?yōu)槿缦拢?br>

不論簽名是否正常，你都可以點(diǎn)“查看證書”按鈕。這時(shí)候，會(huì)跳出證書的對(duì)話框。如下：

從后一個(gè)界面，可以看到俺剛才說的證書信任鏈。圖中的信任鏈有3層：
第1層是根證書（Thawte Premium Server CA）；
第2層是Thawte 專門用來簽名的證書；
第3層是Mozilla自己的證書。

目前大多數(shù)知名的公司（或組織機(jī)構(gòu)），其發(fā)布的可執(zhí)行文件（比如軟件安裝包、驅(qū)動(dòng)程序、安全補(bǔ)丁），都帶有數(shù)字簽名。你可以自己去看一下。
建議大伙兒在安裝軟件之前，都先看看是否有數(shù)字簽名？如果有，就按照上述步驟驗(yàn)證一把。一旦數(shù)字簽名是壞的，那可千萬別裝。

★總結(jié)
費(fèi)了半天口舌，大致介紹了CA證書相關(guān)的概念。想更深入了解這方面知識(shí)的同學(xué)，可以找些信息安全或密碼學(xué)方面的資料，繼續(xù)鉆研。
如果哪個(gè)同學(xué)覺得俺有說得不對(duì)的地方，或者有需要補(bǔ)充的內(nèi)容，歡迎給俺寫郵件（program.think@gmail.com ）。
在下一個(gè)帖子 里，俺打算抖一下，CNNIC這些年干過那些齷齪、猥瑣的事情。

---

版權(quán)聲明
本博客所有的原創(chuàng)文章，作者皆保留版權(quán)。轉(zhuǎn)載必須包含本聲明，保持本文完整，并以超鏈接形式注明作者編程隨想 和本文原始地址：

http://program-think.blogspot.com/2010/02/introduce-digital-certificate-and-ca.html