申请SSL证书为什么要认准国际CA机构？

HTTPS 协议的安全依赖于它的证书机制，如果攻击者申请到了一张和你的网站一摸一样的证书，那你网站的安全机制也就不复存在了。

如果想部署 HTTPS 网站，首先向 CA 机构申请一张证书， CA 机构在审核申请者的身份后，会签发一张证书，证书中包含了申请者网站的主机名、主机公钥，同时 CA 机构会用自己的私钥对整个证书进行签名，并将签名添加到证书文件中，然后发送给证书申请者。证书是 TLS 协议中非常关键的一环，其主要作用：

向网站访问者确认服务器的真实身份，确保客户端（浏览器）是和真正的网站提供者在通信，避免遇到中间人攻击，实现密码学中的身份认证特性。

客户端和服务器使用证书中的公钥（依赖于不同的密码协商算法，功能有所不同）协商出主密钥（Master Secret），有了主密钥，客户端和服务器端就可以保证通信数据是加密且没有被篡改。

为什么不能使用私有证书？

因为，如果你的证书服务器被黑客攻击了，拿到了服务器权限，那就可以生成无限的证书，甚至可以在证书中植入木马。

所以要让浏览器信任你的证书，你得有能力，有资格证明自己的证书服务器安全级别达到最高，即99.99%不被黑客入侵。

我也相信，在未来不远，我们国家也会有自己的根证书，并全球授信。我们国家有相关规定，比如《网络安全法》中三级等保网站必须启用HTTPS访问。

上一篇：HTTPS是怎么加密数据的？

下一篇：为什么一定要使用SSL证书？