一、前言废话

当我们在浏览器访问一个网站的时候，心中就会有一个疑问，比如我们在访问12306的时候就会想，这个网站是铁路公司官网的还是‘’黄牛‘’倒票做的假网站，我会不会不经意间泄露了重要的个人信息。为了提高黄牛造假的门槛，就引入了我们今天谈到的数字证书这一概念，所谓的数字证书就是权威机构给服务器颁发一张证书上面写着这台服务器ip和域名等信息。当浏览器访问服务器的时候，服务器先将这张证书呈上待浏览器确认无误后才可以进行数据传输。简而言之的一个比喻“数字证书是服务器的身份证”。

二、CA的签发流程与工作机制

想给服务器颁发证书，就要有证书的颁发机构。这里就要谈到CA（Certification Authority）机构发布的数字证书。还拿身份证来举例，对于身份证来讲这个机构就是公安部的户籍部门，而对于公民来说我们看到他的身份证签发机构是户籍部门的我们就觉得这张证件是可信的，但是仅仅靠公安部干这个事情的话全国14亿人去首都办证肯定是不可取的，这时他们就在各地开了很多的派出所，这种派出所是经过公安部授权的可以签发身份证的机构，我们在意识中就自主建立起了一条信任链，因为对公安部信任所以对他授权的机构和这些机构所签发的证件都信任。当然除了公安部之外，如果一个外国人持有米国户籍部门（俺瞎猜的）签发的证件也是值得信任的，所以这样的机构可能有很多个，信任链也有很多条。

计算机的世界也是这个道理，操作系统内置了受信任的机构证书的列表，当浏览器访问服务器的时候服务器出示自己的证书，浏览器和自己的受信任的列表进行比对如果通过则继续通信，如果未通过则给出提示。这就构成了我们的证书验证的基本工作机制。计算机的世界中使用SSL（security sockets layer，安全套接层，为网络通信提供安全及数据完整性的一种安全协议）。它是操作系统向外提供的API，用于在通信前传输数字证书的信息。http是不验证证书的因此不需要使用ssl，而https需要验证证书则需要使用ssl。其实https就是http和ssl的合体简称。

三、没有条件创造条件

理想是美好的而现实是残酷的，想获得机构颁发的证书是需要一笔不菲的开销。那么如何白嫖证书？12306给出了一个很“好”的先行示范，当我们访问12306（改版前的哈）的时候。

截图1：12306提示证书有问题

提示此网站的安全证书有问题，说明证书不可信，如果我们忽略证书不可信，继续访问网站，打开12306网页，在首页提供一个根证书的下载，根证书是上面提到的信任链的最初结点的证书，其他证书都是由根证书签发的，当我们信任根证书后就会对由这个根证书签发的一整条信任链上的证书信任，这也免去了我们需要对每一个网站添加到信任列表的繁琐工作。我们对于根证书的信任是无条件的，在这里我们把12306的根证书放入操作系统的受信任目录是因为他是我国的政府部门，讲道理他应该不会害我们的。但对于其他的根证书我们要持有一个怀疑的态度不要轻易添加到受信任列表中。在我国的安全认证体系分为金融CA和非金融CA。在金融CA方面，根证书由中国人民银行管理，在非金融CA方面，由中国电信负责。试想一下如果拿到了中国人民银行的根证书，我们就可以哈哈哈哈哈……（活着不好吗？为啥我要想这个。。。。）