信任鏈
維基百科,自由的 encyclopedia
信任鏈,或稱電子證書鏈,是一連串的電子證書,由根證書為起點,透過層層信任[1],使終端實體證書的持有者可以獲得轉授的信任[2],以證明身份。基於資訊保安的考慮,在進行電子商務或使用政府服務時,交易的另一方用戶,以根證書為基礎,憑藉對簽發機構的信任,相信當時持有信任鏈終端的證書持有者確為其人,並透過公開金鑰加密確保通訊保密、透過數碼簽章確保內容無誤、以及保證對方不可否認。
公開金鑰基礎建設已經在X.509及RFC 5280指定了使用信任鏈的認證路徑驗證演算法(英語:Certification path validation algorithm)[3]。其中,會透過證書吊銷列表及OCSP檢查手上得到的證書是否已被證書機構在到期前復原。另一方面,證書機構簽發新的證書時,也可能透過證書透明度公佈簽發證書的記錄,讓公眾查核,避免有其他機構在未得到當事人同意下濫發欺詐證書偽冒身份。CA/瀏覽器討論區通過了DNS證書頒發機構授權協定,參與的證書機構會在簽發證書前透過域名系統檢查是否已獲授權。