主流浏览器直接信任Let’s Encrypt根证书，宣告他成为顶级CA

8月6号，Let’s Encrypt 官方博客发表了一篇文章 Let's Encrypt Root Trusted By All Major Root Programs ，其中关键信息引用如下：

意思就是本月底，所有的微软产线（比如 Edge）也将直接信任 Let’s Encrypt 的根证书（ISRG Root X1），从而世界上所有的主流产品都直接支持其根证书了，那么这意味着什么？什么是直接信任？对使用 Let’s Encrypt 的证书的人有何影响？且听我慢慢道来。

这一消息表示：

也许你听的晕晕乎乎的，为了解明白，我们必须理解证书链的概念。

证书链是一个信任链，关系见下图：

以 Let’s Encrypt 签发的证书为例，申请者申请的证书可以称为服务器证书，运行 openssl 查看证书命令，关键信息如下：

这表示服务器证书是 simple>

SSL证书是数字证书的一种，因为配置在服务器上，也称为SSL服务器证书。SSL证书是遵守SSL协议，由受信任的数字证书颁发机构CA，在验证服务器身份后颁发，具有服务器身份验证和数据传输加密功能。
SSL证书的作用有：
1）实现数据加密传输，保证网站安全
信息传输过程中采用>

　网站运营者应该都听说过SSL证书，现在各大搜索引擎都在鼓励网站安装上SSL证书，这是为什么呢SSL证书到底是个什么东东它又有哪些作用呢看完本文你就知道了。
SSL证书又叫服务器证书，是一种安装在网站服务器上的安全数字证书。这种证书由全球受信任的数字证书颁发机构CA颁发，颁发前需要验证身份。颁发后，安装到服务器上即可。
到这里可能还是有些人不太清楚SSL证书是啥，不过大家可能看到下图就明白了。没错，有这种特征的就表示这个网站安装了SSL证书。
网站安装SSL证书后，在浏览器地址栏输入网址就会从 “>

主流搜索引擎优先收录以>

部分网站运营者应该有遇到过这样的问题：访客访问自己的网站时经常跳转到其他站点，造成访客的流失。这就是我们说的网站流量劫持，而安装SSL后就不会出现这样的问题。
在网络安全问题越来越受到重视的当下，网站安装SSL证书是必然，不同类型的网站申请的合适的证书类别。安信SSL(>基于数字证书的应用角度分类，数字证书可以分为以下几种：
服务器证书
服务器证书被安装于服务器设备上，用来证明服务器的身份和进行通信加密。服务器证书可以用来防止欺诈钓鱼站点。
数字证书颁发过程图示
在服务器上安装服务器证书后，客户端浏览器可以与服务器证书建立SSL连接，在SSL连接上传输的任何数据都会被加密。同时，浏览器会自动验证服务器证书是否有效，验证所访问的站点是否是假冒站点，服务器证书保护的站点多被用来进行密码登录、订单处理、网上银行交易等。全球知名的服务器证书品牌有GlobalSign，Verisign，Thawte，Geotrust等。
SSL证书主要用于服务器(应用)的数据传输链路加密和身份认证，绑定网站域名，不同的产品对于不同价值的数据和要求不同的身份认证。
最新的高端SSL证书产品是扩展验证（EV）SSL证书。在IE70、FireFox30、Opera 95等新一代高安全浏览器下，使用扩展验证VeriSign（EV）SSL证书的网站的浏览器地址栏会自动呈现绿色，从而清晰地告诉用户正在访问的网站是经过严格认证的。
电子邮件证书
电子邮件证书可以用来证明电子邮件发件人的真实性。它并不证明数字证书上面CN一项所标识的证书所有者姓名的真实性，它只证明邮件地址的真实性。
收到具有有效电子签名的电子邮件，我们除了能相信邮件确实由指定邮箱发出外，还可以确信该邮件从被发出后没有被篡改过。
另外，使用接收的邮件证书，我们还可以向接收方发送加密邮件。该加密邮件可以在非安全网络传输，只有接收方的持有者才可能打开该邮件。
个人证书
客户端证书主要被用来进行身份验证和电子签名。
安全的客户端证书被存储于专用的usbkey中。存储于key中的证书不能被导出或复制，且key使用时需要输入key的保护密码。使用该证书需要物理上获得其存储介质usbkey，且需要知道key的保护密码，这也被称为双因子认证。这种认证手段是目前在internet最安全的身份认证手段之一。key的种类有多种，指纹识别、第三键确认，语音报读，以及带显示屏的专用usbkey和普通usbkey等。
目前的数字证书在广义上可分为：个人数字证书、单位数字证书、单位员工数字证书、服务器证书、证书、WAP证书、代码签名证书和表单签名证书。

浏览器总提示安全证书问题解决办：设置系统间单击始——控制面板打控制面板控制面板找始终语言区域打点击设置间期选择internet间点击更改设置勾选与internet间服务器同步点击确定即二：安装证书已经载某中国站证书要安装即首先打浏览器空白位置邮件单击勾选菜单栏菜单栏找工具工具拉菜单找internet选项internet选项点击内容内容选项卡找证书点击点击受信任证书颁发机构接着点击导入按照提示步步

证书查找方法
首先打开运行界面，输入control命令，然后点击Internet选项，接着点击顶部的内容页卡，接下来点击证书按钮，然后个各种证书就列举出来了，最后我们还可以通过导入按钮进行证书的手动导入。

有两种类型的证书颁发机构（CA）：根 CA 和中间 CA。如果想让一个设备信任一个证书，必须保证该证书设备信任的 CA 颁发。
如果证书不是由受信任的 CA 签发的，则连接设备（例如，网页浏览器）将检查发行 CA 的证书是否由可信 CA 颁发，等等，直到找到可信 CA 为止 （此时将建立可信的安全连接），或者找不到可信的 CA（此时设备通常会显示错误）。

SSL 证书列表（从根证书到最终用户证书）代表 SSL 证书链。

这是一个实际的例子。 假设您从 Awesome Authority 购买域 exampleawesome 的证书。

Awesome Authority 不是根证书颁发机构。 换句话说，它的证书并不直接嵌入到您的 Web 浏览器中，因此它不能被明确信任。

在我们的示例中，SSL 证书链由 6 个证书表示：

证书 1 是您的最终用户证书，即您从 CA 购买的证书。 从 2 到 5 的证书称为中间证书。 证书 6，即位于链条顶部的链接称为根证书。

当您为 exampleawesome 安装最终用户证书时，必须捆绑所有中间证书并将它们与最终用户证书一起安装。 如果SSL证书链无效或损坏，则某些设备不会信任您的证书。

不用。根证书通常嵌入您的连接设备中。 在 Web 浏览器的情况下，根证书与浏览器软件一起打包。

安装中级 SSL 证书的过程取决于 Web 服务器和安装证书的环境。

例如，Apache 要求您捆绑中间 SSL 证书，并将该包的位置指定给 SSLCertificateChainFile 配置项。 而 Nginx 要求您将中间 SSL 证书与最终用户证书打包在一个包中。

我们提供一个证书安装向导，其中包含多个服务器和平台的安装说明。 如果您向我们购买证书，您将能够 使用此向导获取并安装服务器所需的文件 。

如果您的服务器不在向导中，您仍然可以通过它获取正确的文件，然后按照 Web 服务器的文档来确定如何正确安装域证书和中间证书。

如果您未安装一个或多个中级 SSL 证书，则会破坏证书链。 这意味着您在特定（最终用户或中间）证书与其颁发者之间建立了缝隙。 当设备找不到证书的受信任颁发者时，证书和从中间证书直到最终证书的整个链都不可信。

因此，您的最终证书不会被信任。 Web浏览器将显示“无效证书”或“证书不可信”错误。

这不可能。 缩短链条的唯一方法是将中间证书提升为根。 理想情况下，您应该推广代表您的证书颁发机构的证书，这样该链只包含两个证书。

但是，根证书与浏览器软件一起打包，如果不是来自浏览器维护人员，则不能更改该列表。

某些浏览器可能会抱怨由非知名证书颁发机构签署的证书，而其他浏览器可能会接受证书而没有问题。 发生这种情况的原因，是颁发机构使用中间证书对服务器证书进行了签名，该中间证书不在与特定浏览器一起分发的知名的的受信任证书颁发机构的证书库中。 在这种情况下，权威机构提供一系列链接的证书，这些证书应连接到已签署的服务器证书。 服务器证书必须出现在组合文件中的链接证书之前：

生成的文件应该在 ssl_certificate 指令中使用：

如果服务器证书和软件包已按照错误顺序连接，Nginx 将无法启动并显示错误消息：

因为 Nginx 已经尝试将私钥与该包的第一个证书一起使用，而不是服务器证书。

浏览器通常存储他们收到的中间证书并由受信任的机构签名，因此主动使用的浏览器可能已经具有所需的中间证书，并且可能不会抱怨没有链接包发送的证书。 为确保服务器发送完整的证书链，可以使用 openssl 命令行实用程序，例如：

（完）

---