所有浏览器都允许用户检视自己安全连接的信任链，常见的访问入口就是地址栏头
               儿上的锁图标，点击即可查看（图 4-6）。

               •   igvita.com 证书由 StartCom Class 1 Primary Intermediate Server 签发。
               •   StartCom Class 1 Primary Intermediate Server 证书由 StartCom Certification Authority
                 签发。
               •   StartCom Certification Authority 被认为是根证书颁发机构。



























               图 4-6：igvita.com 的证书信任链（谷歌 Chrome v25）

               整个链条的“信任依据”是根证书颁发机构，在这里就是 StartCom  Certification
               Authority。每个浏览器都会内置一个可信任的证书颁发机构（根机构）的名单，在
               此浏览器相信而且能够验证 StartCom 根证书。实际上，通过浏览器到浏览器开发
               商，再到 StartCom 证书颁发机构的信任链传递，可以把信任扩展至目标站点。


                          所有操作系统和浏览器在默认情况下都会提供一个它们信任的证书颁发机
                          构名单。如果你想进一步了解，可以搜索并研究研究这个名单。
                          实践中，知名和可信任的证书颁发机构有好几百个，而这也是系统经常遭
                          到责难的原因。想象一下，这么多证书颁发机构无疑会构成一个较大的攻
                          击面，从而给坏人潜入你的浏览器信任链提供可乘之机。


               4.5 证书撤销


               有时候，出于种种原因，证书颁发者需要撤销或作废证书，比如证书的私钥不再安


               52   ｜   第 4 章