2.2.1 CA 证书机制

文档摘要

2.2.1 CA 证书机制在现代网络通信的基石之上，SSL/TLS 并非一堵坚不可摧的铜墙铁壁，而更像一座由精密齿轮咬合驱动的钟表——其可靠性不取决于最耀眼的指针，而取决于最底层那枚被校准千次、嵌入机芯深处的游丝：CA 证书机制。它不声不响，却决定着每一次是否真正连向银行服务器，而非某台伪装成它的中间人设备；它不参与密钥交换的炫目舞蹈，却在握手伊始就悄然投下第一道信任判决书——“此公钥，可信否？” 我们常把 TLS 握手比作一场外交使节互验国书的仪式。而 CA（Certificate Authority），就是那个被多国共同承认、拥有铸印权的“国际认证署”。但问题来了：当国书本身可以被伪造、被替换、甚至被“悄悄盖章”时，系统如何确保它真来自那个署？