![cover image](https://wikiwandv2-19431.kxcdn.com/_next/image?url=https://upload.wikimedia.org/wikipedia/commons/thumb/d/d1/Chain_of_trust.svg/langzh-cn-640px-Chain_of_trust.svg.png&w=640&q=50)
信任链
维基百科,自由的 encyclopedia
信任链,或称数字证书链,是一连串的数字证书,由根证书为起点,透过层层信任[1],使终端实体证书的持有者可以获得转授的信任[2],以证明身份。基于信息安全的考虑,在进行电子商务或使用政府服务时,交易的另一方用户,以根证书为基础,凭借对签发机构的信任,相信当时持有信任链终端的证书持有者确为其人,并透过公开密钥加密确保通信保密、透过数字签名确保内容无误、以及保证对方不可否认。
![Thumb image](http://upload.wikimedia.org/wikipedia/commons/thumb/d/d1/Chain_of_trust.svg/langzh-640px-Chain_of_trust.svg.png)
公开密钥基础建设已经在X.509及RFC 5280指定了使用信任链的认证路径验证算法(英语:Certification path validation algorithm)[3]。其中,会透过证书吊销列表及OCSP检查手上得到的证书是否已被证书机构在到期前撤消。另一方面,证书机构签发新的证书时,也可能透过证书透明度公布签发证书的记录,让公众查核,避免有其他机构在未得到当事人同意下滥发欺诈证书伪冒身份。CA/浏览器论坛通过了DNS证书颁发机构授权协议,参与的证书机构会在签发证书前透过域名系统检查是否已获授权。