[发明专利]一种数字证书验证的方法和装置

说明书

本发明公开了一种数字证书验证的方法和装置，涉及计算机技术领域。该方法的一具体实施方式包括：通过代理服务器将根据对服务端原始证书的认证情况，来选择使用不同类型的证书对服务端原始证书进行重新签发，使得客户端能够获悉对该服务端的访问风险，进而解决了客户端因信任代理服务器所签发的证书而访问恶意网站的问题，并提升了客户端访问网络的安全性。

技术领域

本发明涉及计算机技术领域，尤其涉及一种数字证书验证的方法和装置。

背景技术

为了解决互联网中网络传输过程中的安全性问题，通常使用安全连接协议来进行数据传输，由于使用安全连接协议传输的数据是经过加密的，企业的代理服务或者网络监管部门无法对网络中的非法数据进行监管，因此由代理服务器使用自己的证书对服务端的证书重新进行签发，然后将签发后的证书发送给客户端，在此之前，需要在客户端将代理服务器的证书设置为受信任的数字证书，由此可以对数据进行解密；

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

上述方法隔离了客户端与服务端之间原有的证书验证机制，如果网站服务器本身是恶意网站或者证书本身存在问题，按照现有流程，客户端在访问该服务端时，会提示证书错误然后由用户选择是否继续，但是客户端收到代理服务器重新签发的证书后，客户端会无条件地信任代理服务器重新签发的证书，在这样的情况下可能产生因客户端访问恶意网站而带来的数据安全问题。

发明内容

有鉴于此，本发明实施例提供一种数字证书验证的方法和装置，能够避免客户端因信任代理服务器所签发的证书而访问恶意网站的风险，从而提升了客户端访问网络的安全性。

为实现上述目的，根据本发明实施例的一个方面，提供了一种数字证书验证的方法，其特征在于，包括：

获取客户端访问请求中包含的网络地址，建立与所述网络地址对应的网站服务器的安全连接；当所述安全连接指示为成功时，获取所述网站服务器的原始证书；对所述原始证书生成证书链，并验证所述原始证书；当验证结果为所述原始证书可信时，使用本地可信证书签发所述原始证书，生成可信目标证书；当验证结果为所述原始证书不可信时，或者当确定所述网络地址对应恶意网站时，使用所述本地不可信证书签发所述原始证书，生成不可信目标证书；当验证结果为无法确定所述原始证书是否可信时，使用所述本地未知证书签发所述原始证书，生成未知目标证书；向客户端发送所述可信目标证书、所述不可信目标证书以及所述未知目标证书中的任意一个。

可选地，所述数字证书验证的方法，其特征在于，

所述本地可信证书、所述本地不可信证书以及所述本地未知目标证书安装于所述客户端。

可选地，所述数字证书验证的方法，其特征在于，

在对所述原始证书生成证书链失败的情况下，使用所述未知本地证书签发所述原始证书，生成未知目标证书。

可选地，所述数字证书验证的方法，其特征在于，

当所述原始证书为自签名证书时，使用所述本地未知证书签发所述原始证书，生成未知目标证书。

可选地，所述数字证书验证的方法，其特征在于，

使用证书吊销列表验证所述原始证书，当证书吊销列表中不包括所述原始证书时，所述验证结果为所述原始证书可信；当证书吊销列表中包括所述原始证书时，所述验证结果为所述原始证书不可信。

可选地，所述数字证书验证的方法，其特征在于，

使用在线证书状态协议验证所述原始证书，

当根据在线证书状态协议获得的证书状态为证书有效时，所述验证结果为所述原始证书可信；