



公開金鑰基礎建設已經在X.509RFC 5280指定了使用信任鏈的認證路徑驗證演算法英語Certification path validation algorithm[3]。其中,會透過證書吊銷列表OCSP檢查手上得到的證書是否已被憑證機構在到期前撤消。另一方面,憑證機構簽發新的證書時,也可能透過證書透明度公佈簽發證書的記錄,讓公眾查核,避免有其他機構在未得到當事人同意下濫發欺詐證書偽冒身份。CA/瀏覽器論壇通過了DNS證書頒發機構授權協議,參與的憑證機構會在簽發證書前透過域名系統檢查是否已獲授權。







  1. 維基百科網站因為使用HTTPS,故伺服器已安裝了電子證書。此證書的主體一欄列明係發給 *.wikipedia.org 所使用,故如果用戶是連接任何 *.wikipedia.org 旗下的網站,此證書都適用。此即終端實體證書,亦是TLS伺服器憑證(由於使用了通配符,所以也是通配符證書)。
  2. 瀏覽器驗證 *.wikipedia.org 的電子證書時,除檢查其有效期外,還會再檢查其上級簽發證書,亦即「GlobalSign Organization Validation CA - SHA256 - G2」--這是中介證書,持有機構已根據組織驗證確認 *.wikipedia.org 的擁有者--維基媒體基金會--在現實世界中的身份。
  3. GlobalSign Organization Validation CA - SHA256 - G2」是由「GlobalSign Root CA」所發出,由於「GlobalSign Root CA」沒有再上級簽發機構,它是自簽證書。應用軟件會檢查此證書有否已預載於根證書清單上:如有,則 *.wikipedia.org 的終端實體證書確認為有效,維基百科網站被認為可信任;否則向用戶警告網站未獲信任。

總括來說,由於用戶信任 GlobalSign,所以由 GlobalSign 所擔保的維基百科可以被信任。而由於用戶信任作業系統或瀏覽器的軟件商,所以由軟件商預載了根證書的 GlobalSign 都可被信任。


