SSL安全证书中三级证书链和四级证书链的区别

随着互联网普及，网络安全越来越受重视，作为网络安全非常重要的手段和纽带，特别是微信小程序对于通信服务器的强制性SSL要求，SSL证书开始成为每个网站的标配。面对市场琳琅满目的证书品牌，如何选择SSL证书显得尤为重要，在这个过程中，很多人听过三级证书链和四级证书链的概念，这其中有什么差异呢？

先来了解几个基本概念。

SSL证书（Secure socket layer）

SSL证书，简称安全套接层，是由Netscape开发来保护Web服务器和Web浏览器之间的信息传输安全。SSL证书可以帮助保护在线用户的银行信息、登录账号密码、电子邮件，以及相关重要的机密信息，在传输过程中对其进行高强度加密，防止黑客截取以及篡改，以确保数据的完整性，现已成为该领域中全球化的标准。

SSL证书并不是一张独立的证书，它是由一系列证书，组成一条证书链，形成证书的保护体系。在证书链中，基本构成条件是：根证书（Root Certificate）、中间证书（Intermediate Certificate）以及服务器证书（Server Certificate）。下面是这些概念的详细解释：

根证书（Root Certificate）

根证书是由证书颁发机构，也就是俗称的CA（ Certificate Authority）签发的自签名证书。它是整个证书链的开始，信任级别高。

CA签发根证书，并将其内置于常见的操作系统和浏览器中。当用户访问使用 SSL 证书的网站时，浏览器会自动信任这些根证书。根证书存在于操作系统和浏览器的信任列表，大部分浏览器支持查看。

中间证书（Intermediate Certificate）

中间证书是由根证书或更高一级中间证书颁发的，用来为服务器证书提供一个中间的信任层。中间证书的主要目的是在根证书和服务器证书之间建立一个链式结构，使得根证书不直接参与到每个网站的证书签发。

那么为什么不直接让根证书对服务器证书签名呢，这样不是多此一举吗？其实不然，CA之所以使用中间证书对服务器证书进行签名，而不是直接签名，是为了安全性考虑，防止根证书泄露或受到攻击时，一旦根证书失效，整个 CA 的信任链都会崩溃。

服务器证书（Server Certificate）

服务器证书是网站的SSL证书，由中间证书签发。它是网站服务器提供给客户端的证书，客户端使用它来建立SSL连接。服务器证书是实际被使用来保护网站通信安全的证书，里面包含了网站的域名、证书的有效期以及CA的签名等信息。

证书链(certificate chain)

通过以上概念解读我们可以知道：证书链可有任意长度，其中根证书和服务器证书无法调节长度，唯有中间证书会影响证书链长度，中间证书越多证书链越长。

SSL证书结构图解

三级证书链与四级证书链

明明三级证书链就能解决问题，为什么市面上会有如此多四级证书链的SSL证书呢？那是因为某些SSL证书中，一级中间证书并不能满足证书的兼容性要求，所以会用交叉链证书来补充，以确保达标。这种方式可以让数字证书厂家得到保护，但对用户本身并不友好。如存在多个中间证书交叉链，会导致SSL证书文件变大，加载速度变慢，信任度降低，报错频率上升，所以这类证书价格较便宜。

三级证书链

四级证书链

三级证书链和四级证书链文件大小对比

因缺少中间证书导致手机端访问异常

通常四级证书链的证书因自身兼容性问题，需补充完整证书链才可信任，证书的弊端不仅体现在响应速度慢上，而且在安装过程中一旦中间证书配置不完整会导致终端使用故障。

综上，三级证书链是目前基本的证书链路，依赖证书颁发机构强大的兼容性和适配性，无须再额外补充中间证书，使得证书在使用中更安全、快速，大大提升容错率，是目前较优选择。