手机端下拉列表

博客 > 公共CA与私有CA有何区别?

公共CA与私有CA有何区别?

  • 标签:
  • 公共CA
  • 私有CA
  • PKI
  • 自建CA

浏览量:2735次评论:0次

作者:May时间:2022-06-23 17:46:57

如果您阅读了《CA定义以及功能说明》这篇文章,相信您对CA有更深的认识。可是您知道证书颁发机构也分公共CA私有CA吗?他们之间有什么区别呢?又该如何选择呢?


先了解一下到底有多少个CA?

据统计,全球有数百个公共CA,通常它们是按国家地区进行划分的。但是,实际上排名靠前的也有大约数十个,比如Digicert,Sectigo,GlobalSign,Entrust等等。当然,这些CA颁发的证书深受全球企业用户和个人用户的广泛认可和使用。这类CA是商业CA,也称为公共信任的证书颁发机构。

什么是受信任的CA?

受信任的CA也称商业CA,是为申请证书的企业组织颁发数字证书的权威性第三方机构,并管理最终用户数据加密的公共密钥和证书。这类证书机构颁发的受信任数字证书必须符合CA/浏览器论坛提出的基准要求,以确保网站的高安全性,减少漏洞安全风险。

目前特别知名的公共CA机构有:

  • DigiCert
  • Entrust
  • Globalsign
  • Sectigo
  • Geotrust
  • Let’s Encrypt

但不仅限以上几个受信任的CA。

什么是私有CA?

私有证书颁发机构(也称私有PKI)是内部CA,通常存在于大型企业中,企业自己创建、颁发数字证书,所以也称为自建CA。自建CA在许多方面都像公共CA一样运作,但是最明显的区别在于:

  • 私有CA颁发的证书仅受其内部用户,客户端和IT系统信任;

  • 私有CA颁发的证书会限制对选定用户组的访问。

  • 您必须自己建立私有CA,并托管私有CA(或者找第三方帮您完成)。

由于这些证书是由内部CA而不是受信任的第三方CA颁发的,因此这类证书最适合在企业内网中使用,而绝不会面向公用的站点。所以,私有CA自签名证书最常用于以下场景:

虚拟专用网络;

内网站点;

私人电子邮件签名证书;

封闭式的用户组服务;

文件共享应用程序。

谁决定哪些证书颁发机构受到公共信任?

这个问题没有准确的答案,因为不同的系统或者浏览器会信任不同的CA机构,比如Microsoft决定Windows计算机信任哪些CA;Mozilla决定Firefox和Linux计算机中信任哪些CA;苹果公司决定在其Safari浏览器,设备操作系统等上信任哪些CA。但不管他们信任哪个CA,都会选择权威的,受到公共信任的CA。

所以,公共CA与私有CA的区别在于:

1.  应用场景不同

受信任的CA签发的证书符合行业的基本标准,安全性高,多用于公众访问的站点,特别是电子商务系统,网银系统,证券系统等;

自签名的CA证书则适用于内网站点,适合企业内部人员的使用。

2.  安全系数不同

公共CA证书是由受信任的根证书签发,CA在签发证书前还会对证书申请者进行身份验证,确保其身份的真实性。如果已签发的证书发现有问题,CA有权吊销该证书以避免安全问题的发生。

自签名证书是自己创建的CA签署的数字证书,它普遍存在严重的安全漏洞,极易受到攻击劫持,而且通常不受浏览器信任,因此自签名证书安全系数非常低。此外,私有CA无权吊销自签名证书。

3.  成本投入不同

由于CA包含在信任库中,您的证书将被公开信任,从公共证书机构颁发的证书只是公共信任的证书的一小部分,企业或个人用户只需要支付很少的费用就可让站点得到安全的保护和身份认证。

相反,企业自建CA,是需要人力和财力成本,甚至是需要一个团队去管理内部PKI,而且还需要支付硬件,软件,许可和培训费用。 对于很多小公司来说,这会造成成本过高。不过,好在锐成的云端私有CA服务,无需高额的前期设备和系统投资,可以让您轻松安全地管理自签发证书

如此看来,如果您是要保护一个可以被公众访问的域名,那么最好是选择受信任的公共CA来签发证书,因为他们的根证书存储在大多数浏览器的信任存储库中,这样会使得身份验证变得更容易。但是如果企业需要低成本管理数量庞大的私有数字证书,如客户端证书,IoT证书,SSL证书等,那么自建PKI服务则是不二之选。

我的评论

还未登录?点击登录

售前咨询
合作
售后
return head