浏览器如何知道Web服务器提供的TLS(SSL/https)证书是由受信任的CA签署的合法证书？

当你浏览网页时，你可能会注意到某些网站的地址栏中有一个挂锁图标，表明它们是安全的。这种安全性由TLS（传输层安全性）加密提供，可确保你的数据通过互联网安全传输。但是，你的浏览器如何知道Web服务器提供的TLS证书是由受信任的证书颁发机构(CA)签署的合法证书？在本文中，我们将讨论Web浏览器如何确定Web服务器提供的TLS证书是否合法以及是否已由受信任的证书颁发机构(CA)签名。

那么这些CA是哪里来的，既然有这么多CA厂家，凭什么信任他们？
答案是：因为他们先做了这个事情，而且和浏览器厂商有很好的合作关系，就是这么简单。
他们自己组成了一个联盟，讨论和制定行业标准，这个联盟有个论坛叫CA/Browser Forum，可以查询详细的会员信息：
https://cabforum.org/about/membership/members/
CA/Browser(CA/B)Forum论坛维护数字证书创建、分发和使用各个方面的指南，包括证书过期和撤销的策略。公众信任的证书颁发机构通常会参与该论坛。
大多数成员是CA或Web浏览器供应商。然而，证书消费者组织也参与其中。根据CA/Browser(CA/B)Forum规则，CA必须通过合同要求所有RA遵守并记录其对这些规则的遵守情况。CA本身也受到广泛的规则和运营审计的约束。
任何违规行为都可能引发更多审核和其他后果，从而损害CA的声誉并降低对其运营和可靠性的信任。

先决条件：需要对Web浏览器、证书颁发机构、TLS证书和数字身份验证过程有基本的了解。

每个证书颁发机构都有一组密钥对（私钥和公钥）。证书颁发机构使用他们的私钥来签署证书，所有公钥都内置于所有浏览器中。浏览器使用证书颁发机构的公钥来验证证书实际上是由已验证的证书颁发机构本身签署的。

当Web服务器向浏览器提供TLS证书时，浏览器需要验证该证书是否合法且已由受信任的证书颁发机构(CA)签名。以下是该过程的简化概述：

1、浏览器检查服务器提供的证书是否有效：它验证证书是否未过期、证书中的域名与URL中的域名匹配以及证书是由受信任的CA颁发的。
2、浏览器检查证书是否由受信任的CA颁发：浏览器具有用于验证证书的受信任CA列表。如果颁发证书的CA不在该列表中，浏览器将显示一条错误消息，指示连接不安全。
3、浏览器验证证书的签名：证书包含使用CA私钥创建的数字签名。浏览器使用存储在浏览器证书存储中的CA公钥来检查此签名。如果签名有效，浏览器就知道该证书是由受信任的CA颁发的。
4、浏览器建立安全连接：验证证书后，浏览器和服务器将协商用于加密通信的会话密钥。该密钥用于加密和解密浏览器和服务器之间发送的数据，确保其不会被第三方拦截。
5、如果上述所有检查均通过，你的浏览器将在地址栏中显示锁定图标，并允许你使用HTTPS安全地访问网站。

总之，你的浏览器使用检查和验证过程的组合来确保Web服务器提供的TLS证书是合法的并且已由受信任的CA签名。这有助于通过加密你与网站的连接并防止攻击者拦截或篡改你的数据来保护你的在线安全和隐私。

可以验证你的域名的证书链的工具：https://www.digicert.com/help/

扩展资料：截止2024年4月的全球CA证书颁发机构

Certification Authorities （CA机构）

• Actalis S.p.A.
• Amazon Trust Services LLC
• Asseco Data Systems (formely Certum)
• Beijing CA
• Buypass AS
• Camerfirma
• Certinomis
• CERTIGNA
• certSIGN
• CFCA
• Chunghwa Telecom Co., Ltd.
• China Internet Network Information Center
• ComSign Ltd
• D-TRUST GmbH
• DigitalTrust
• DigiCert, Inc.
• Digidentity
• Disig, a.s.
• E-TUGRA Inc.
• ecommerce monitoring – Global Trust
• eMudhra Technologies Limited
• Entrust
• Fastly
• Firmaprofesional
• Global Digital Cybersecurity Authority Co., Ltd
• GlobalSign
• GoDaddy Inc
• Hellenic Academic and Research Institutions Certification Authority (HARICA)
• IdenTrust
• iTrusChina
• Izenpe S.A.
• JPRS
• Kamu Sertifikasyon Merkezi
• KPN Corporate Market BV
• Let’s Encrypt
• Logius PKIoverheid
• MSC Trustgate
• National Center for Digital Certification
• NAVER Cloud
• Network Solutions, LLC
• OISTE Foundation
• Open Access Technology International
• Prvni certifikacni autorita, a.s.
• SECOM Trust Systems
• SecureTrust
• Sectigo Ltd.
• Shanghai Electronic Certification Authority Center Co. Ltd
• SK ID Solutions AS
• Skaitmeninio sertifikavimo centras (SSC)
• SSL.com
• SwissSign AG
• TAIWAN-CA Inc.
• Telia Company
• TrustAsia Technologies
• TrustCor Systems, S. de R.L.
• Visa

Associate Members （准会员）

**Certificate Consumer Members (Application Software Suppliers) ** （证书消费者）

• 360
• Apple
• Brave
• Cisco
• Comodo
• Google Inc.
• Microsoft Corporation
• Mozilla Foundation
• Opera Software AS
• qikfox Cybersecurity Systems, Inc.
• rundQuadrat OG
• Zertificon

除上述实体外， 认可合格评定机构理事会 (ACAB'C)、美国注册会计师协会、加拿大特许会计师协会、WebTrust 特别工作组、欧洲电信标准协会 (ETSI)和tScheme的成员Limited参与了扩展验证 SSL 证书、基线以及其他程序和标准的标准制定。