证书颁发机构（CA）是为网站颁发数字证书的受信任的组织。CA验证网站域名，并根据证书类型验证网站的所有权，而后颁发受Chrome、Safari和Firefox等Web浏览器信任的TLS/SSL证书。因此，CA通过验证网站和其他实体来提升互联网的安全性，从而增强对通信和交易的信任。

CA发挥什么作用？

您每次访问带有HTTPS的网站或在URL栏中看到挂锁标记时，您就在使用经过CA验证的网站。此外，每当您访问一个被标记为“不安全”的网站时，您就会知道该网站尚未经过CA验证或其验证已失效。

任何想要显示安全挂锁标记并启用HTTPS的网站都需要从CA获得TLS/SSL证书。在颁发证书之前，CA将验证证书请求者的信息，例如网站的所有权、名称、位置等。CA必须遵守严格的行业标准，以确保每个CA都遵循类似的验证要求。由主要浏览器和CA组成的CA/浏览器论坛为TLS加密和数字证书制定标准。

为什么我们需要证书颁发机构？

如果没有证书颁发机构，购物、银行业务或线上浏览的安全性都会降低。输入到Web表单中的数据将不会受到保护，并且可能会被在浏览器和服务器之间“嗅探”数据的黑客所捕获。然而，CA对组织和个人进行验证，以帮助确保只有合法网站才能获得TLS证书。全球有100多个不同的证书颁发机构对全球各地的企业和网站进行验证。

值得注意的是，冒名顶替者仍然可能试图利用证书，因此网络用户仍应熟悉网站签章等网站信任指示物，以了解网站是否安全。此外，您可以检查保障级别更高的数字证书中包含的有关证书所有者的身份信息，如组织名称、位置等。

三种主要类型的TLS证书

CA颁发三种不同类型的TLS证书：域名验证（DV）证书、组织验证（OV）证书和扩展验证（EV）证书。CA根据不同的用户信任级别验证每种类型的证书，EV是现有的保障级别最高的证书。OV和EV之间的区别在于，CA会采取更多的步骤来验证证书请求者，让最终用户更加相信网站的合法性。

• DV——域名验证证书的所有权由申请人证明对域名的控制权来确认。然而，DV证书不提供对组织信息的确认，因此不建议用于商业目的。
• OV—— 组织验证证书由CA根据政府管理的企业注册数据库进行验证。CA可能要求某些文档和个人联系信息，以确保OV证书包含合法的企业信息。这是商业或面向公众的网站所需要的标准证书类型。
• EV —— 扩展验证证书提供最高级别的身份验证，以保护品牌和用户。根据Comscore和Netcraft 2019年的数据，EV证书被世界领先的组织使用，包括超过一半的全球400强电子商务网站。

在另一篇博客文章中阅读有关如何为您的网站选择合适的证书类型的更多信息。

CA颁发的证书类型

虽然CA主要聚焦于TLS证书，但CA也颁发各种数字证书，包括：

• 代码签名证书——用于签署软件版本并验证来自供应商或开发人员的软件。
• 电子邮件证书 ——使用S/MIME协议，可保护并验证电子邮件，证明作者身份并防止篡改。
• 文档签名证书——在Adobe、Microsoft和其他程序中签署具有法律约束力的文档，以确保其未被更改且受到信任。
• 设备证书——可以保护物联网（IoT）设备。
• 用户或客户端证书——用于对个人进行身份验证。

如何获取CA证书？

要从DigiCert等CA获得证书，您需要填写证书签名请求（CSR）并填写订单。无论您订购哪种类型的TLS证书，流程都是一样的；但是您需要为OV和EV证书提供更多的信息字段。DigiCert可以在不到一天的时间内完成您的验证，这样您可以在几小时而不是几天内获得TLS证书。

请牢记，所有受公众信任的TLS/SSL证书的最长有效期为一年（398天），并且您需要每年重新进行验证。

如何选择证书颁发机构

在选择证书颁发机构时，您应该了解几个考虑因素，例如信任度、客户服务、品牌知名度、成本和可用的工具等。选择您能够信任的CA至关重要，因为您的数字产品和服务以及最终用户的安全取决于您的CA所提供的技术。受信任的CA接受独立方的定期审计，遵循行业指导原则，并保持最佳实践以保护其基础设施。此外，许多CA积极参与行业组织和行业标准的制定，是其领域的思想领袖，能为您提供所需的资源。并不是每个CA都有24/7客户支持服务来为您提供一对一的帮助。最后，某些平台有一个受信任的证书颁发机构列表供您使用。

在另一篇博客文章如何选择合适的证书颁发机构中阅读更多信息。

在何处购买TLS/SSL

您可以从任何受信任的证书颁发机构购买TLS/SSL证书。然而，由于您在此浏览，您应该已经了解到DigiCert是购买TLS/SSL证书的最佳选择之一。

作为全球最大的CA之一，DigiCert拥有近二十年的经验，为全球数百万用户和设备提供受信任的解决方案，目前我们拥有超过2200万个有效的TLS证书。大多数《财富》500强企业和许多全球2000强企业都依赖DigiCert。我们非常重视这一责任，并采取多项措施来确保我们证书的完整性，包括每年完成二十多次审计。我们还提供24/7五星级客户支持，并正在对解决方案进行创新，从而让证书管理变得更容易。DigiCert是CA/B论坛的积极、领先的参与者，并且正在开发工具，以帮助组织即使在最严格的全球标准下也能保持合规。此外，DigiCert为每种安全需求提供数字证书。

请访问www.digicert.com/cn以了解DigiCert（全球最大的CA之一）的更多信息或立即购买TLS证书。

通过我们的PKI电子书了解为什么PKI是TLS/SSL计划的逻辑延伸。