简要分析CA机构证书被浏览器识别的原理和过程

一般我们都知道申请SSL证书只能使用CA机构发布的才能被浏览器识别为安全的链接并且有小锁的标志，如果使用自签名SSL证书则依旧会被认为是不安全的链接或者SSL证书未被信任等做错误，需要访问手动点击“继续访问”才能打开链接。那么，为什么CA机构的证书就能被浏览器识别而自签名的就不行呢？本文简要说说CA机构的SSL证书被浏览器信任的过程。

CA机构的SSL证书被浏览器信任的过程一般如下：

1. CA机构向浏览器厂商提交证书申请，提供证书的签发机构、证书类型等相关信息。
2. 浏览器厂商对CA机构进行审核，并进行技术测试，以确保证书的可靠性和安全性。
3. 如果审核通过，浏览器厂商将CA机构的证书信息添加到浏览器的信任列表中。
4. 当浏览器访问一个使用该CA机构签发的SSL证书的网站时，浏览器会检查证书是否存在于信任列表中。
5. 如果证书存在于信任列表中，则浏览器会验证证书是否有效、是否过期，以及证书中的域名是否与网站的域名匹配。
6. 如果验证通过，则浏览器会将网站标记为安全，显示一个锁形状的图标，同时使用HTTPS协议与网站进行通信，以确保通信过程的安全性。

需要注意的是，CA机构的证书只能被浏览器信任，如果使用其他未经信任的浏览器访问该网站，可能会收到不信任证书的警告。

简单地说，就是CA机构的证书信息提前已经导入了浏览器，可以理解这是CA机构与主流浏览器的Py交易。例如在360浏览器里面，就可以看到“受信任的根证书颁发机构”就可以看到哪些证书是被信任的了。我们的自签名SSL证书不被新人，是新人证书里不含有在浏览器中的信任信息。

 

 目前国内的品牌研发也是处于被动的状态，例如在查税网站里，就需要手动安装根证书才能正常查发票真伪。

 

 JoySSL是网盾数科自研推出的新一代https数字证书，也是目前为数不多的中国自主品牌SSL证书。JoySSL携手全球可信顶级根，基于国内服务器验证签发，安全可信、完美兼容且更加稳定快速。品牌自主，全球可信。

国产自主品牌JoySSL证书-免费SSL证书

 

 JoySSL各类证书选购地址

 

 付费版的我个人觉得也是非常良心了，价格不贵。单域名的只要一百多块钱一年，并且提供全程的售后。此外，JoySSL还提供了许多其他的免费SSL证书：

SSL证书申请_SSL证书购买_https证书申请_https证书购买-JoySSL