随着SSL证书的广泛应用，申请SSL证书的人也越来越多，但是很多使用SSL证书的用户其实并不太了解SSL证书。他们仅仅是因为要把站点从HTTP转换到HTTPS而申请使用SSL证书，而最终用户也只是获取SSL证书也是证书链的一部分而已。在本文将为大家介绍关于SSL证书的根证书和中间根证书的知识。

什么是中间证书？

证书颁发机构（CA）不会直接从根目录颁发服务器证书（即SSL证书），因为这种行为是十分危险的，因为一旦发生错误颁发或者需要撤销root,则使用root签名的每个证书都会被撤销信任。

因此，为了避免这种风险发生，CA机构一般会引用中间根。CA机构使用其私钥对中间根进行签名，使浏览器信任中间根。然后CA机构使用中间根证书的私钥来签署用户申请的SSL证书。这种中间根的形式可以重复多次，即使用中间根签署另一个中间件，然后CA机构通过中间件签署SSL证书。

这是证书链的可视化过程，从上述例子可看出，CA机构只需要使用一个中间体来保持简单的操作，但其实真正的证书链通常要复杂的多。

什么是根证书？

根证书是指CA机构颁发SSL证书的核心，是信任链的起始点。根证书是浏览器是否对SSL证书每个浏览器都有一个根证书库，有的浏览器是采用自主的根证书库，而一些浏览器则采取第三方的根证书库。而根证书库是下载客户端浏览器时预先加载根证书的合集。因此根证书是十分重要的，因为它可确保浏览器自动信任已使用私钥签名的SSL证书。

受信任的根证书是属于证书颁发机构（CA），而CA机构是验证和颁发SSL证书的组织机构。

根证书CA和中间根CA的区别？

根证书CA是拥有一个或者多个受信任根的证书颁发机构，即CA机构已扎根在主要浏览器的信任库中。而中间跟CA或子CA是颁发中间根的证书颁发机构，他们不一定在浏览器的信任库中有根证书，而是将他们的中间根链接回收到受信任的第三方根，这种就被称为交叉签名。

所以有一些CA机构颁发的证书并不是直接从他们的根源发出的，而是通过中间根签署证书来加强安全层，这有助于减少发生错误或安全事件的机率。如果撤销中间根，而不是撤销根证书以及按扩展名签署的证书，这种做法会导致中间根签发的证书不受信任。

其实目前就有一件经典的案例，就是谷歌和其他主流的浏览器都取消对赛门铁克品牌的SSL证书。据悉，赛门铁克的SSL证书目前已颁发了数百万，取消对其的信任似乎是一件艰巨的项目。但在实际中，这是一项非常简单的工作，因为只需要在浏览器的根证书库中删除Symantec CA的所有根就可以。