ྦྷ࿵
                                                                     ࠅሃ      ྦྷ࿵ڦ
                                                         Ӱ݀ኁ                  ຳሃ
                               ႑ඪ     ૚຺ڦ      ૚຺                    ૚຺
                                       ຳሃ      ࠅሃ                  ૚຺ڦധఁ
                                                          ᄓኤ
                         ቧෙ
                 图 4-4：张三、李四和王五的信任链

                 Web 以及浏览器中的身份验证与上述过程相同，这就意味着此时此刻你应该问自
                 己：我的浏览器信任谁？我在使用浏览器的时候信任谁？这个问题至少有三个答案。

                 •   手工指定证书
                   所有浏览器和操作系统都提供了一种手工导入信任证书的机制。至于如何获得证
                   书和验证完整性则完全由你自己来定。

                 •   证书颁发机构
                   CA（Certificate  Authority，证书颁发机构）是被证书接受者（拥有者）和依赖证
                   书的一方共同信任的第三方。

                 •   浏览器和操作系统
                   每个操作系统和大多数浏览器都会内置一个知名证书颁发机构的名单。因此，你
                   也会信任操作系统及浏览器提供商提供和维护的可信任机构。

                 实践中，保存并手工验证每个网站的密钥是不可行的（当然，如果你愿意，也可
                 以）。现实中最常见的方案就是让证书颁发机构替我们做这件事（图 4-5）：浏览器
                 指定可信任的证书颁发机构（根 CA），然后验证他们签署的每个站点的责任就转移
                 到了他们头上，他们会审计和验证这些站点的证书没有被滥用或冒充。持有 CA 证
                 书的站点的安全性如果遭到破坏，那撤销该证书也是证书颁发机构的责任。



                     キ⚍䆕к
                        ໯ᆶኁఁ׬
                        ໯ᆶኁࠅሃ                Ё䯈䆕к
                                      Ӱ݀ኁ
                      Ӱ݀ኁDŽCADžఁ׬                 ໯ᆶኁఁ׬
                        Ӱ݀ኁധఁ                   ໯ᆶኁࠅሃ                ḍ䆕к乕থᴎᵘ䆕к
                                      ᄓኤ                     Ӱ݀ኁ
                                              Ӱ݀ኁDŽCADžఁ׬               ߵኤກӰ݀ऐࠓఁ׬
                                                Ӱ݀ኁധఁ                 ߵኤກӰ݀ऐࠓࠅሃ
                                                              ᄓኤ                      ᄓኤ
                                                                      ߵኤກӰ݀ऐࠓധఁ


                 图 4-5：证书颁发机构签署数字证书

                                                                     传输层安全（TLS）   ｜   51