域名证书(通常指SSL/TLS证书)由证书颁发机构(CA, Certificate Authority)签发。CA是受信任的第三方实体,负责验证域名所有者身份并对证书进行数字签名,确保通信加密和身份可信。以下是详细解析:
一、SSL/TLS证书的颁发机构(CA)
全球主流的公共可信CA需通过 WebTrust 等国际审计认证,并被操作系统/浏览器预置根证书。主要分为以下三类:
| CA类型 | 代表机构 | 特点 |
|---|---|---|
| 商业CA | DigiCert、Sectigo、GlobalSign、Certera | 提供多种证书类型(DV/OV/EV) |
| 免费CA | Let's Encrypt、ZeroSSL | 自动化签发DV证书 |
| 企业私有CA | Microsoft AD CS、OpenSSL自建 | 内部网络专用,需手动信任 |
二、如何查询域名证书的颁发机构?
方法1:通过浏览器直接查看
1. 访问目标网站,点击地址栏的锁形图标 → 选择"证书"
2. 在证书详情中找到"颁发者"字段(如DigiCert Inc、Sectigo Limited)。
方法2:使用命令行工具
(适用于Linux/macOS/Windows WSL)
openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -noout -issuer
输出示例:issuer= /C=US/O=DigiCert Inc/CN=DigiCert TLS RSA SHA256 2020 CA1
方法3:在线检测工具
使用 SSL Labs(https://www.ssllabs.com) 或 Why No Padlock(https://www.whynopadlock.com) 输入域名,报告会明确显示证书签发CA。
三、扩展知识:证书核心验证机制
1. 信任链校验
浏览器通过预置的根证书验证中级CA签名,中级CA再验证域名证书,形成完整信任链。
2. 证书类型差异
| 类型 | 验证级别 | 签发时间 | 适用场景 |
|---|---|---|---|
| DV | 域名所有权验证 | 几分钟 | 个人网站、博客 |
| OV | 企业实名认证 | 1-3天 | 企业官网 |
| EV | 严格企业调查 | 3-7天 | 银行、支付平台 |
四、全球CA市场份额参考(2023年数据)
| CA机构 | 常用品牌名 | 市场份额 |
|---|---|---|
| DigiCert | DigiCert、Symantec、Geotrust | 33.2% |
| Sectigo | Comodo CA | 17.8% |
| Let's Encrypt | - | 29.1% |
注意事项:
1. 所有公共网站必须使用受信任的公共CA签发证书,否则浏览器会显示安全警告。
2. 企业内网可部署私有CA,但需在所有设备手动导入根证书。
查看详情
查看详情
