Compara les revisions
安全网站证书
Revision 197068:
Revision 197068 by wxie2016 on
Revision 276153:
Revision 276153 by wxie2016 on
Keywords:
安全查看器
安全查看器
Search results summary:
网站可以将向 Firefox 呈递一个标识自身身份的证书。了解 Firefox 如何检查你访问网站的真实性。
网站可以将向 Firefox 呈递一个标识自身身份的证书。了解 Firefox 如何检查你访问网站的真实性。
Content:
安全网站的证书可以帮助 Firefox 确定您正在访问的网站是否实际是它所声称的网站。本文解释它如何工作。
__TOC__
=证书层次结构=
当您访问一个网站地址以 '''https''' 开头的网站时,您与该网站的通信将被加密,以确保您的隐私。在开始加密通信之前,该网站将向 Firefox 呈递一个标识自身身份的证书。
一个 https 的网站只是保证信息安全的传递到某人注册的该安全网站的域名,您与该网站之间的通信将进行加密,不会中途泄露给其他人。除此以外,没有对旁路泄露的其他安全保证。
当您访问一个安全网站时,Firefox 将检查该网站的证书签名是否有效,并检查签发该证书的父证书是否仍然有效,并且被[https://wiki.mozilla.org/CA:UserCertDB 根证书]所信任。这种证书链被称为“证书层次结构”。
<!-- Certificate content section no longer matches the information on the Certificate Viewer page. See discussion on updates for fx71.
=证书内容=
安全网站的证书
'''序列号''':标识该证书的唯一序列号。
'''主题''':标识该证书的所有者,例如拥有该证书的组织名称。
'''发行者''':标识颁发该证书的实体。
'''主题备用扩展名称''':列出该证书可以标识的网站地址列表。
'''签名''':验证该证书确实来自发行者的数据。
'''签名算法''':创建签名使用的算法。
'''有效期起始''':证书生效时间
'''有效期截止''':证书过期时间。
'''证书用法和扩展密钥用法''':指定该证书可用于的用途,例如确认网站的持有者(Web 服务器身份验证)。
'''公钥''':公/私密钥对的公开部分。公钥与私钥在数学意义上相关联,使用公钥加密的数据只能被对应的私钥解密。
'''公钥算法''':创建公钥使用的算法。
'''指纹''':公钥的缩写形式。
'''指纹算法''':创建指纹使用的算法。
-->
=查看一个证书=
你可以从 [[Firefox Page Info window|Firefox 页面信息窗口]] 快速查看当前网站证书的详情。
{for not fx70}
当您浏览使用 '''https''' 开头的网站时,地址栏中将会有一个锁状图标。如果要查看证书,请
# 点击地址栏里的 [[Image:Site Info button]] 图标。
# 点击 [[Site Information panel|控制中心]] 下拉列表里的右箭头。
# 在下一个面板,会显示谁验证了证书,接着点击 {button 更多信息} 按钮。
#;[[Image:Fx60SecureSite-MoreInfo]]
# 在新弹出的 '''页面信息''' 窗口中点击 {menu 安全} 选项卡,然后选择 {button 查看证书} 按钮即可。
#; [[Image:Fx60PageInfo-ViewCertificate]]
{/for}
{for fx70}
当您浏览使用 '''https''' 开头的网站时,地址栏中将会有一个锁状图标。如果要查看证书,请
# 点击地址栏里的锁形图标 [[Image:Fx70GreyPadlock]]。
# 点击 [[Site Information panel|网站信息]] 下拉列表里的右箭头。
# 在下一个面板,会显示谁验证了证书,接着点击 {button 更多信息} 按钮。
#;[[Image:fx71 - View Certificate]]
# 在新弹出的 '''页面信息''' 窗口中点击 {menu 安全} 选项卡,然后选择 {button 查看证书} 按钮即可。
#; [[Image:Fx70PageInfo-ViewCertificate]]
{/for}
{for not fx71}
'''证书查看器''' 窗口会显示证书的基本信息,比如发布者、有效期和指纹。{menu 详情} 标签页会显示证书的层次结构、各个层次的证书区域以及各个层次的区域值详情。
{/for}
{for fx71}
'''证书查看器''' 窗口会显示证书的基本信息,比如发布者、有效期和指纹等。
[[Image:Fx71-CertificateViewer]]
证书查看器在表头显示 '''证书层次结构''',就像页面里的 ''选项卡''。点击表头可以查看每个证书的相关信息。
{/for}
<!-- see discussion
==From Firefox settings==
From the '''Certificates''' section of your Firefox settings, you can view all certificates that have been saved, along with their corresponding details.
# [[Template:optionspreferences]]
# Click {menu Privacy & Security} in the left panel.
# Scroll down to the '''Certificates''' section.
# Click the {button View Certificates…} button.
#;The '''Certificate Manager''' pop-up displays with the {menu Your Certificates} tab selected by default, which contains a list of associated certificates.
# Click a certificate from the list.
# Click the {button View…} button at the bottom of the pop-up.
#; The about:certificate page displays in a new tab with general information about the certificate such as issuer, period of validity and fingerprints.
-->
=有问题的证书=
当您浏览使用 https 开头的网站时,并且网站的安全证书存在问题,您将看到错误页面。一些常见证书错误的介绍见 [[What do the security warning codes mean?]]
如要查看有问题的证书,步骤如下:
{for not fx66}
# 在 '''你的连接不安全''' 警告页面上,点击'''高级'''。
# 点击 {button 添加例外...}。
#;{for win}[[Image:Add Cert Exception 44]]{/for}
# 当添加例外的对话框将打开时,点击 {button 查看...}。
#;证书查看器的窗口将出现。
{/for}
{for fx66}
# 在 '''警告:有安全风险''' 页面,点击 '''高级'''。(在其他错误页面,请点击 '''更多信息'''。)
#* 错误的技术细节将展示出来。
#在错误代码下面,点击 ''查看证书''。
#;证书查看器对话框会打开。
#;[[Image:Fx66ViewCertificate]]
{/for}
=报告证书错误=
证书错误页面里有一个向Mozilla汇报错误的选项。分享该不受信任的网站的地址和网站标识(安全网站的证书)可以帮助我们识别和阻止恶意网站,更好的保护您的安全。
<!-- see discussion
=Delete Certificates=
You can delete certificates by doing the following:
# [[Template:optionspreferences]]
# Click {menu Privacy & Security} in the left panel.
# Scroll to the '''Certificates''' section.
# Click the {button View Certificates…} button.
#;The '''Certificate Manager''' pop-up displays with the {menu Your Certificates} tab selected by default, which contains a list of associated certificates.
# Click a certificate from the list.
# Click the {button Delete…} button at the bottom of the pop-up.
#; A confirmation pop-up displays.
# Click the {button OK} button.
#;The certificate no longer displays in the {menu Your Certificates} tab.
-->
[https://www.cloudflare.com/learning/ssl/transport-layer-security-tls/ 传输层安全](TLS)证书既验证您正在访问的网站所有者也验证其信息。本文解释它如何工作。
__TOC__
=哪些网站使用证书=
以 '''https''' 开头的网站使用 TLS 证书。使用 TLS 证书的网站在两方面是安全的:
*网站的管理者拥有该网站名称或者知道谁是所有者。
*网站和浏览器之间的通讯加密,防止窃听。
=信任链=
象 Firefox 这样的浏览器,会通过一个称为 '''信任链''' 的层级结构验证证书。它为浏览器和其他程序定义一个验证证书合格性的机制。信任链的结构如下:
;[[Image:chain-of-trust]]
它有三个证书:
* 根 '''(trust anchor)''' 证书
* 中间证书
* 服务器 '''(end entity)''' 证书
定义如下:根证书属于 [https://en.wikipedia.org/wiki/Certificate_authority 证书管辖机构] (CA),它负责发布 TLS 证书,浏览器自动信任;中间证书作为根证书和网站之间的中间人;服务器证书属于网站管理员。
证书包含以下信息:
* 证书管辖机构的详情 (CA)
* 非对称密钥对
** 加密签署证书链上下一个证书的私钥;服务器证书还有一个其他用途的密钥
** 解密证书链上下一个证书的公钥;服务器证书还有一个其他用途的密钥
现在,我们来看下 Firefox 如何判断网站是否安全。
==Firefox 如何验证证书可信?==
Firefox 使用证书链来验证 TLS 证书:
# 你访问网站时,Firefox 下载网站证书。
# Firefox 使用内部证书管辖结构(CA)数据库检查证书。
#* 使用其根 CA 证书的公钥确保证书链上的根证书和中间证书签名正确。
# Firefox 和 CA 一起确保你访问网站的证书和服务器证书一致。
# Firefox 为加密 HTTP 连接创建对称(单一)密钥。
# Firefox 使用服务器证书的公钥加密对称密钥。
# 服务器使用拥有的私钥解密连接数据。
=查看证书=
参考以下步骤查看证书:
# 点击锁形图标:
#; [[Image:padlock-icon]]
# 点击 {button 连接安全}
#; [[Image:connection-secure]]
# 点击 {button 更多信息}
#; [[Image:more-information]]
# 在弹出窗口,点击 {button 查看证书}
#; [[Image:view-certificate]]
Firefox 会打开 '''about:certificate''' 页面,上面有网站的证书:
;[[Image:about-certificate-page]]
从左到右有三个标签页显示服务器证书、中间证书和根证书。
=证书内容=
TLS 证书包括以下信息:
*'''主题''':标识网站名称和相关信息,例如拥有该证书的组织名称。
*'''发行者''':标识颁发该证书的实体。
*'''有效期''':证书有效时长
*'''主题备用扩展名称''':列出该证书可以标识的网站地址列表。
*'''公钥信息''':公钥的信息。
*'''序列号''':标识该证书的唯一序列号。
*'''签名算法''':创建签名使用的算法。
*'''指纹''':证书文件的哈希:[https://wiki.openssl.org/index.php/DER DER] 二进制。
*'''密钥用法和扩展密钥用法''':指定该证书可用于的用途,例如确认网站的持有者(Web 服务器身份验证)。
** '''证书使用者密钥标识(SKID):'''由 TLS 证书公钥产生的证书标识,用来标识证书。
* '''证书颁发机构密钥标识(AKID):'''由 TLS 证书公钥产生的证书 标识,用来标识和签名证书的私钥相关公钥。
* '''CRL 终端:'''发布 CA 的 [https://csrc.nist.gov/glossary/term/certificate_revocation_list Certificate Revocation List] (CRL) 的位置
* '''管辖机构信息:'''包含证书管辖机构和中间证书文件的验证方法。
* '''证书有效性:'''包含证书有效类型和指向 CA [https://csrc.nist.gov/glossary/term/certification_practice_statement Certification Practices Statement] (CPS) 的链接。
* '''嵌入式 SCT:'''列出 [https://www.globalsign.com/en/blog/what-is-certificate-transparency 已签证书时间戳] (SCT)。
=有问题的证书=
当您浏览使用 '''https''' 开头的网站时,并且网站的安全证书存在问题,您将看到错误页面。一些常见证书错误的介绍见 ''[[What do the security warning codes mean?]]''
如要查看有问题的证书,步骤如下:
# 在 '''你的连接不安全''' 警告页面上,点击 {button 高级...}。
# 点击 {button 添加例外...}。
#; [[Image:bad-cert-advanced]]
# 点击 ''查看证书''。
#; [[Image:view-bad-certificate]]
错误证书将展示出来。
<!-- This feature appears to be deprecated
=报告证书错误=
证书错误页面里有一个向Mozilla汇报错误的选项。分享该不受信任的网站的地址和网站标识(安全网站的证书)可以帮助我们识别和阻止恶意网站,更好的保护您的安全。
-->
<!-- see discussion
=Delete Certificates=
You can delete certificates by doing the following:
# [[Template:optionspreferences]]
# Click {menu Privacy & Security} in the left panel.
# Scroll to the '''Certificates''' section.
# Click the {button View Certificates…} button.
#;The '''Certificate Manager''' pop-up displays with the {menu Your Certificates} tab selected by default, which contains a list of associated certificates.
# Click a certificate from the list.
# Click the {button Delete…} button at the bottom of the pop-up.
#; A confirmation pop-up displays.
# Click the {button OK} button.
#;The certificate no longer displays in the {menu Your Certificates} tab.
-->