加密与身份：证书的两大核心使命

网站安全证书不仅仅是一个实现HTTPS加密的技术文件，它更肩负着两项至关重要、相辅相成的核心使命：数据加密和身份验证。这两大使命共同构成了安全信任的基石。
使命一：加密传输——保障数据的机密性
这是证书直观的作用。在没有加密的HTTP连接中，数据以明文形式传输，如同寄送一张未封口的明信片，途径的每个节点都可窥探内容。安全证书通过SSL/TLS协议，解决了这个问题。
工作原理： 当浏览器访问HTTPS网站时，会与服务器进行“TLS握手”。在此过程中，服务器将其证书发送给浏览器。双方利用证书中的信息，通过非对称加密算法协商出一个只有本次会话才使用的、临时的对称加密密钥（称为“会话密钥”）。
后续通信： 此后，所有在浏览器和服务器之间传输的数据，都会使用这个会话密钥进行加密和解密。即使数据包被第三方截获，看到的也只是一串毫无意义的乱码，从而确保了登录凭证、个人信息、支付数据等敏感信息的绝对机密。
使命二：身份验证——验证服务器的真实性
加密本身并不能保证通信对象的可信。如果一个黑客伪造了一个银行的网站，并同样启用了HTTPS（加密），用户的数据依然会被安全地传输到黑客手中。这时，证书的第二个使命——身份验证就显得至关重要。
工作原理： 证书由全球公认的证书颁发机构签发。CA在签发证书前，会依照严格的标准对申请者的身份进行不同级别的验证。证书本身包含了网站域名、颁发机构、有效期以及（对于OV和EV证书）申请组织的详细信息。
建立信任链： 浏览器和操作系统中内置了一个受信任的CA根证书列表。当浏览器收到服务器证书时，会验证：
证书是否由受信任的CA签发？
证书中的域名是否与正在访问的域名一致？
证书是否在有效期内？
证书是否被吊销？
只有通过这些验证，浏览器才会认为对方的身份是真实可信的，从而建立起安全连接。如果验证失败，浏览器会向用户发出明确的警告。
两者的关系：相辅相成，缺一不可
加密解决了“内容不被看到”的问题，而身份验证解决了“对方是谁”的问题。一个安全的通信必须同时满足这两点：既要确保对话的私密性，也要确认对话方的身份真实无误。网站安全证书通过将这两大使命集于一身，确保了网络通信既私密又可信，是电子商务、网上银行等一切在线业务得以开展的先决条件。