证书链特点

1. 间接证据链的法律特征有哪些

法律分析：间接证据的法律特征 间接证据是指不能单独、直接证明,需要与其他证据结 合才能证明待证事实的证据。它具有以下特点: 首先,一个 案件中的间接证据往往呈现复数性,即书证、物证、视听资 料、证人证言等。

法律依据：《中华人民共和国刑法》 第二百四十六条 以暴力或者其他方法公然侮辱他人或者捏造事实诽谤他人，情节严重的，处三年以下有期徒刑、拘役、管制或者剥夺政治权利。前款罪，告诉的才处理，但是严重危害社会秩序和国家利益的除外。通过信息网络实施第一款规定的行为，被害人向人民法院告诉，但提供证据确有困难的，人民法院可以要求公安机关提供协助。

2. 网银证书加密解密是在哪里

今天和同事在讨论数字证书以及网页的加密解密，这些概念确实比较容易混淆，难以理解，所以再从网上搜集资料以及加上自己的理解，在这里详细的写下加解密的原理以及网银的验证过程，如果TX们有异议，大家可以继续讨论。

首先要先理解一些概念，这样才能更好的理解。

公钥和私钥
在现代密码体制中加密和解密是采用不同的密钥（公开密钥），也就是非对称密钥密码系统，每个通信方均需要两个密钥，即公钥和私钥，这两把密钥可以互为加解密。公钥是公开的，不需要保密，而私钥是由个人自己持有，并且必须妥善保管和注意保密。
公钥私钥的原则：
一个公钥对应一个私钥。
密钥对中，让大家都知道的是公钥，不告诉大家，只有自己知道的，是私钥。
如果用其中一个密钥加密数据，则只有对应的那个密钥才可以解密。
如果用其中一个密钥可以进行解密数据，则该数据必然是对应的那个密钥进行的加密。
举个例子来说，就好比银行里的保险柜，你申请该业务后银行会给你一把钥匙，也就是私钥，但光有这一把钥匙是开不了的，还有一把在银行那里，而且这把钥匙适用于所有的保险柜，也就是公钥，只有先用银行的钥匙开启，然后再用你的钥匙开启才能完全打开保险柜。
加密算法的分类
对称加密：
对称加密是最早和著名的技术。机密密钥可以是数字、 一词或随机字母的字符串，只需，应用于以特定方式更改该内容的消息的文本。
举个例子来说，我有一段文本需要加密，文本内容是ABCD，我设置的密钥（也可以称作加密算法）是位移算法，把字母向后位移2位，那么加密后的内容应该是CDEF，然后接收方也需要知道这个密钥，通过它来推导出文本的原始内容。这样的加密方法的特点是算法公开、计算量小、加密速度快、加密效率高。但是有个缺点，接收双方都需要使用这个密钥，而且如果有n个人都需要加密的话，那么就需要n个密钥，因为不可能每个人的密钥都一样，要不就无保密性可言。对于网银来说，用户数量是相当多的，如果使用这种加密方法，那么对于网站来说密钥的数量是灾难性的，根本无法管理。
非对称加密：
与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。
非对称加密算法实现机密信息交换的基本过程是：A要向B发送一段机密信息，首先B会生成一对密钥并将其中的一把作为公钥（B的公钥）向A公开；得到该公用密钥的A使用该密钥（B的公钥）对机密信息进行加密后再发送给B，B再用自己保存的另一把专用密钥（B的私钥）对加密后的信息进行解密。B只能用其私钥解密由其公钥加密后的任何信息。画了个简单的图作为参考。
探讨：网银数字证书加密解密原理 - patrickyan2008 - patrickyan2008的博客

数字证书与数字签名
数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构—CA机构，称为证书授权(Certificate Authorit y)中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循 ITUT X.509国际标准。
那么，数字证书怎样完成网上身份的认证呢？
把数字证书说成是网上身份证，这是一种形象的比喻。实际上，数字证书所证明的是公钥的真实性。
认证中心对用户的身份进行严格的审核后，为用户颁发数字证书。它通过公钥加密技术对用户的公钥信息和用户的身份信息作了数字签名，把用户所宣称的身份信息与公钥绑定在一起。数字签名也就相当于敲了个公章，用来证明你的信息是真实有效的。于是，包含有用户个人身份信息、公钥和数字签名的一个特殊的电子文件就形成了数字证书。数字证书可以存储在硬盘里，也可以存储在软盘或USB Key里。
CA
CA是Certificate Authority的缩写，也叫证书授权中心。
它是负责管理和签发证书的第三方机构。一般来说，CA必须是所有行业和所有公众都信任的、认可的。因此它必须具有足够的权威性，就好比身份证的发型机关公安局一样，公安局所颁发的身份证一定是可以信任的。但是你自己制作身份证，但是做出来的身份证是没啥用处的，因为你不是权威的公安机关，你自己搞的身份证不具有权威性，其实就是假证。
CA证书，就是CA颁发的证书。
证书之间的信任关系和证书链
证书间的信任关系，就是用一个证书来证明另一个证书是真实可信的。
实际上，证书之间的信任关系，是可以嵌套的。比如，C信任A1，A1信任A2，A2信任A3......这个叫做证书的信任链。只要你信任链上的头一个证书，那后续的证书，都是可以信任的。
根证书
根证书叫Root Certificate。
例如，假设C证书信任A和B；然后A信任A1和A2；B信任B1和B2，则它们之间，构成如下的一个树形关系。
探讨：网银数字证书加密解密原理 - patrickyan2008 - patrickyan2008的博客
处于最顶上的树根位置的那个证书，就是“根证书”。除了根证书，其它证书都要依靠上一级的证书，来证明自己。那谁来证明“根证书”可靠呢？实际上，根证书自己证明自己是可靠滴（或者换句话说，根证书是不需要被证明，就像我们的ZF一样，呵呵）。所以，根证书是整个证书体系安全的根本。所以，如果某个证书体系中，根证书出了问题（不再可信了），那么所有被根证书所信任的其它证书，也就不再可信了，这个后果是相当相当的严重。
Hash（哈希）算法
刚才我们说到了加密，我们在传送信息的时候对信息内容进行加密，但是如果信息内容庞大，那么对内容本身加解密会花去很长的时间，为了提高效率，因此需要使用一种数学算法—哈希算法，先对这段信息作一次数学变换，把这段信息进行压缩，形成了一段短短的“数字摘要”，让数字摘要来“代表”信息本身。可以通过检验数字摘要，借以判断信息本身是否发生了改变。
比方说我们用网上银行向B用户转账100元，但是万一B利用黑客技术更改了你发送的信息内容，把100改成了1000，那怎么办？所以Hash算法就是来验证数据是否被更改。我们可以用Hash值换算工具来举个例子，我有个TXT的文档，里面的内容是100，然后我把数字改成了1000，我们再看一下它的Hash值对比：


完全不一样，所以它能有效的验证数据是否完整有效。

说了那么多概念，接下来我们来探讨一下网上银行的加解密流程吧。
首先先探讨一下用USB Key作为证书的网银流程。
前面提到，USB Key就是包含有用户个人身份信息、公钥和数字签名的一个特殊的电子文件的一种数字证书，只不过这个证书是存放在USB介质里，而不存放在个人的电脑上。假设有个用户Bob要使用USB Key模式的网上银行，那么我们用一张图来解释一下：
探讨：网银数字证书加密解密原理 - patrickyan2008 - patrickyan2008的博客
我再来解释一遍，首先，Bob已经有了自己的USB Key，这个Key里包含了Bob的公钥、私钥以及银行颁发的数字证书（这张证书是用来证明Bob身份的），当Bob需要向网银传送数据的时候，先把数据用Hash算法算出Hash值H，然后用自己的私钥加密Hash值H，最后再用银行的公钥加密（用银行的公钥加密是为了防止数据不会传送到错误的地方，因为只有银行用自己的私钥来解密，任何其他伪造的站点是不具有银行的私钥的，也就无法解密数据）后发送给银行。
银行收到数据后首先用自己的私钥解密，解密后得到加密后的Hash值H，因为这个H是用Bob的私钥来加密的，所以用Bob的公钥来解密，解密后得到H，银行再用同样的算法算出数据的Hash值H'，对比H和H'，如果一致，说明数据没有被中途更改，才能继续通讯，这样交易双方都互相经过验证并互信，交易才可以进行。

还有一种是没有USB Key的网上银行，只用数字证书，比如浦发银行的数字证书版就是这样。其实原理都是一样的，只不过这种方式用户的私钥是存放在本地的，它和USB Key的区别就是安全性上的区别。
举例来说，如果我用的只是数字证书版，数字证书是安装在我的笔记本上，而且的我记比较差，为了方便记忆，我把我的用户名和密码都记录在一个文本文件上。某天我的笔记本丢了，被某个别有用心的人捡到后找到了我存放用户名密码的文件，并且当时我粗心大意，并没有向银行挂失，因为我比较传统，以为卡还在钱包里就没问题，那么这个别有用心的人就可以用我的笔记本登录网上银行并进行转账等操作了。
那么USB key呢，因为使用USB证书后我的私钥是存放在USB盘里的，而且USB Key使用时还需输入一个PIN码，相当于密码，虽然我还是有可能把这个密码存放在那个文件中，但是一般我也不会笔记本和USB Key一块丢掉，因为这个USB也只有用网上银行的时候使用，平时肯定会收起来的，而且这个USB Key只能在一台电脑上使用，换台电脑也不行，它记录了机器的硬件码，只要不是笔记本、USB、密码本一起丢掉，那么安全度还是相当高的，如果这几样同时都丢了，那真的没办法了，我想送钱给别人，那你们也别拦我了，呵呵。

经过那么多篇幅的描述，我想大家应该能够理解了吧，如果还有疑问，或者我有些地方说的不对，那么请和我再一起探讨，毕竟这些也是我自己的理解，还是会有差错的。

3. 不同等级SSL证书之间有什么差别

您好！

SSL证书分为3个分类与各个域保护方式详情：网页链接

DV和OV型证书内最大的容差别是：DV型证书不包含企业名称信息；而OV型证书包含企业名称信息，以下是两者差别对比表：

4. ssl证书是什么

SSL证书（ Socket Layer的缩写）是Netscape设计开发的，用于保护服务器和客户端之间的在线交易。通过在客户端浏览器和Web服务器之间建立一条SSL安全通道（Secure socket layer(SSL)安全协议。
作用

网站部署了 SSL 证书后，浏览器与服务器之间的传输通道由明文传输变成加密传输，传输信息受到高强度保护，可避免非法篡改和窃取。同时浏览器可核实服务器的真实身份，此真实身份是通过第三方CA机构验证。因此SSL证书具有两大作用：数据加密和身份认证。

颁发者

SSL证书由数字证书颁发机构（CA）颁发。CA机构是检验加密的第三方权威机构，负责审核验证用户的身份，确保证书持有者的身份和公钥的所有权。根据颁发的ssl证书类型，CA机构会对申请者进行不同级别的验证。

SSL证书的类型

SSL证书一般分为三类，根据不同级别进行验证：

1、域验证型（DV）SSL证书：主要针对个人网站或小型网站，只需要验证域名的所有权，特点是颁发速度快；

2、组织验证型(OV)SSL证书：主要针对企业型网站或中小型网站，需要验证网站所有单位的真实身份的标准型SSL证书，不仅能起到网站机密信息加密的作用，而且能向用户证明网站的真实身份。

3、扩展验证型(EV)SSL证书：主要针对银行，大量支付交易且需要良好安全性的大型网站。此款证书是全球领先的数字证书颁发机构和主流的浏览器开发商共同制定的一个新的SSL证书严格身份验证标准。

SSL证书优点

1、用户访问通道进行加密，确保通信安全

2、保护用户的隐私信息

3、浏览器消除网站的不安全信息

4、提防网络钓鱼的风险和其他网络攻击

SSL证书缺点

1、证书链：签发机构不同。不同颁发机构采用的技术、产品可行度有明显差异，会直接影响到证书信用度，技术性，兼容性。

2、行业以及域名数量需求，直观影响到产品价格。不同行业采用不同类型证书；数量上，单域、多域、通域等，还是需要不同的费用去选择与支持。

3、设备兼容性。一些小机构颁发的证书会有差分，需要第三方认证，不会被一些设备认可。相对权威CA机构颁发的证书兼容性会比较好。

4、可靠性：一般低级别的证书会影响加密强度，有可能会被抓包，并截取传输数据包破解的可能。所以，存在一定的安全隐患。选择ssl证书时候，要选择市面上较流通、认证强度、兼容性好的品牌，选择权威有影响的CA机构。

5. 为什么不同的SSL证书的价格差异那么大

SSL证书的价格差异大的原因：

第一、品牌不同

安全可靠的https证书都是由受信任的CA机构颁发的，当然，这些机构在各自的技术和服务上还是有差别的，所以造成了价格不尽相同。经过多年的发展，每个品牌所针对的客户群也会有所不同。比如服务于高端行业的Digicert，价格都是成千上万的，对于小型企业可能就不适用。而比较亲民的品牌如Comodo，就便宜得多，几百元左右。

第二、类型不同

从产品类型上讲，SSL证书有域名型DVSSL证书、企业型OVSSL证书、增强型EVSSL证书三种。一般来讲，这三种证书价格区间无外乎以下几种：

1、域名型DV SSL证书价格100~1000元，验证网站域名所有权，显示安全锁和https，适合个人和一般企业网站；

2、企业型OV SSL证书价格1000~4000元，验证域名所有权和企业主体信息，显示安全锁和https，适合中小型企业和电子商务等网站；

3、增强型EVSSL证书价格2000~10000元，验证域名所有权和企业主体信息，显示安全锁、https和企业名称，适合大型金融平台、政企平台等，安全级别最高。

6. 通配符SSL证书有什么特点

Gworg介绍：通配符域名证书，用户可以通过配符域名证书保护服务器的单个主域名和该主域名下同级别的所有别子域名。通配符DV类型和专业版OV类型证书都支持通配符域名。

特点是什么：如果您拥有多个同级别子域名服务器，使用通配符域名证书无需为每个子域名单独购买和安装证书。

举例说明应用场景：通配符域名证书只能匹配同级别的子域名，不能跨级匹配。

例如：*..com的域名证书匹配abc..com、sport..com、good..com等子域名，但是不匹配mycard.good..com、mycalc.good..com等下级域名。

*.good..com匹配mycard.good..com、mycalc.good..com等子域名。

• 通配符域名证书支持的域名包含一级域名。

• 通配符域名证书只支持一个通配符主域名，不支持多个主域名。

通配符域名证书目前仅支持通配符类型的域名、不支持普通域名（非通配符域名）。如需一张证书能包含多个通配符域名和一个或一个以上普通域名的，需要使用多域名通配符证书。

7. 如何正确选则SSL证书——技术层面

第一步：统计域名数量

SSL证书从域名数量可以分为单域名、多域名和通配符等类型，保护的域名数量越多，证书的价格也就越贵。因此我们需要先统计保护的域名数量，从而确定选择哪一种类型的SSL证书：

1、保护1个网站域名，选择单域名SSL证书即可;

2、保护没有直接联系的多个域名，选择多域名SSL证书;

3、保护多个域名且是主域名与子域名的关系，则可选择多域名SSL证书或通配符证书。

第二步：确定认证级别

SSL证书有DV、OV和EV三个认证等级，级别从低到高，不同认证等级的SSL证书所需要的申请资料以及特点也是不一样的。所以我们需要根据网站的具体情况来选择合适的SSL证书认证等级。

1、DV SSL证书(域名验证型SSL证书)：只验证域名所有权，快速颁发，但安全级别一般，适合个人站点(如博客、自媒体等)。

2、OV SSL证书(组织验证型SSL证书)：需要验证企业或组织身份信息后颁发，安全性更强，适用于中小企业类网站。

3、EV SSL证书(扩展验证型SSL证书)：安全级别最高的证书，验证审核也最严格，安装了EV

SSL证书的网站浏览器地址栏变成绿色，并显示企业名称，一般应用于金融、电商、银行等安全需求较高的网站。

第三步：选择证书品牌

SSL证书是由受信任的数字证书颁发机构CA颁发的，目前全球有多家CA机构，比如安信证书合作的就有Comodo、Symantec、Geotrust、Thawte以及RapidSSL等知名CA机构。不同的SSL证书品牌有各自优势，比如Comodo就是以性价比高的特点深受全球用户欢迎。这里小编建议大家一定要选择靠谱的CA机构。

通过以上几步，大家应该都能根据自己的需求选择合适的SSL证书。如果不知道如何选择的可以联系安信SSL证书，我们专业提供SSL证书一站式申请安装服务!

8. 证据链构成的三个要素是什么

证据链的构成至少包括以下三个要素:一是有适格的证据;二是证据能够证明案件的证明对象;三是证据之间能够相互印证,对案件事实排除了合理怀疑。

证据链六个规则：

一、证据链的概念只能在多个证据存在的条件下适用；

二、适用在单独证据不能直接证明被证事实的情况下；

三、每个证据至少要与其他两个证据具有联系；

四、各个证据之间应当在大多数情况下呈现一种递进的或也可称之为纵向的连接建立关系；

五、组成证据链的各个证据不拘形式，即，可以是七类证据中的任何一种，即可以是书证、物证、证人证言等等；

六、证据链的集合证明力为各个证据的总和。

证据链之中的证据必须能够相互印证，排除合理怀疑。证据相互印证就是在运用证据查明案件事实的过程中，为了判断证据的真伪以及证明力的大小，将某一证据与案件其他证据进行比对、检验，考察证据之间的协调性、一致性，进而证明案件事实的活动。

无论是控诉方提供的控诉证据还是辩护方提供的辩护证据，法官在采纳某一证据以及根据全案证据认定案件事实时，必须注重证据之间的相互印证，证据必须得到与其含有相同信息的其他证据的印证性支持，全案证据之间不能有矛盾，应一致性地证明案件事实。对于言词证据，因为其证明力较低以及具有反复性的特点，更需要有其他证据予以印证。

9. GeoTrust的SSL证书有哪些特点

Geo Trust SSL 证书：

1、市场占有率最高的数字证书
2、证书包含企业身份信息
3、在高安全内性浏览器中呈现绿底容色网址栏，并直接显示GeoTrust名称，增加客户信赖度
4、有效期内丢失免费重新颁发
5、40/56/128/256 位自适用加密
6、不受单服务器证书许可协议限制
7、兼容99%以上的浏览器和大多数的手机浏览器
8、签章显示认证有效的企业身份及防伪时间印戳，确保客户放心
9、价值15万美元的安全担保

GeoTrust是VeriSign 的全资子公司，GeoTrust保真EV证书可以通过VeriSign的中国区合作伙伴天威诚信获得。有兴趣可以到天威诚信的网站去看看，网络搜一下就可以了！

10. 我农业银行的K宝 出现 证书链不完整，请检查根证书，怎么回事

需要到银行重新申请授权密码信封。

农业银行的K宝出现证书链不完整，请检查根证书的提示，用户需要到银行重新申请授权密码信封如果说没有插入K宝，系统检测不到K宝，证明未正确安装驱动，银行的安全控件要安装。

另外未安装K宝的根证书。（首次申请K宝，银行有一个密码信封，下载根证书时使用，有效期14天，失效要去银行重新申请密码信封），建议使用IE浏览器下载安装。

(10)证书链特点扩展阅读：

K宝就是农业银行提供的用于存放客户证书及私钥的物理介质，其外形类似于U盘，又称USB-KEY。K令能够同时在个人网银、掌上银行、电话银行、电子商务B2C支付渠道上使用。具有一次一密的特点，无需安装任何驱动软件，采用脱机认证方式，直接使用。

K宝适用于固定场所，只在公司或家中电脑操作进入交易的人，而K令适用于经常出门在外，需要随时随地交易的人。去农业银行申请一张储蓄卡，填单的时候勾选开通K宝的选项。已有农行储蓄卡但没有K宝的，可以携带本人银行账户及有效身份证件到网点申请开通。