最后更新:Dec 30, 2018 | 所有文档
ACME (自动证书管理环境 - Automatic Certificate Management Environment) : 由 Let’s Encrypt 实现的协议。 与该协议兼容的软件可以用它与 Let’s Encrypt 通信以获取证书。 ACME RFC - 维基百科条目
ACME 客户端 (ACME Client) : 能够与 ACME 服务器通信以获取证书的程序。
ACME 服务器 (ACME Server) : 与 ACME 协议兼容的能生成[证书](#def-leaf)的服务器。 Let’s Encrypt 开发的软件 Boulder 与 ACME 协议兼容,但有一些差异。
Boulder : 由 Let’s Encrypt开发并使用的实现了 ACME 协议的软件。 GitHub
CA 颁发者 (CA Issuers) : AIA 字段的一部分,包含证书颁发者的信息。 它在Web 服务器没有提供受信任的证书链时可能会有用。
CA/浏览器论坛 (CA/Browser Forum) : 由证书颁发机构、互联网浏览器软件的供应商、操作系统和其他使用 PKI 的应用程序组成的志愿团体。 CA/浏览器论坛发布了底线要求。 Let’s Encrypt是 CA/浏览器论坛的成员。 维基百科条目
CAA (证书颁发机构授权 - Certificate Authority Authorization) : 指定允许为对应域名颁发证书的 CA的 DNS 记录。 CAA 记录由 CA 而非浏览器检查。 根据底线要求,Let’s Encrypt尊重 CAA 记录。 - 维基百科条目
ECDSA (椭圆曲线数字签名算法 - Elliptic Curve Digital Signature Algorithm) : 使用椭圆曲线加密的数字签名算法(DSA)的变体。 参见维基百科条目。 Let’s Encrypt 支持在叶证书(最终实体证书)中使用 ECDSA,但暂时没有完整的 ECDSA 证书链。参见即将推出的功能。
Ed25519 : EdDSA 的一种类型,类似的还有 Ed448。
EdDSA (爱德华兹曲线数字签名算法 - Edwards-curve Digital Signature Algorithm) : 基于椭圆曲线的现代公钥签名系统,其设计旨在解决椭圆曲线密码的一些常见实现问题。 Let’s Encrypt 这样的证书颁发机构暂时还不能提供 EdDSA 证书。 参见维基百科条目。
HTTP公钥固定 (HPKP - HTTP Public Key Pinning) : 要求浏览器在将来加载网页时确保网站的[证书链](#def-chain)使用特定公钥的安全机制。 Chrome 引入了这项机制来应对 CA 被入侵的情况,但是它会导致网站停止工作,所以 Chrome 又[弃用并移除了它](https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/he9tr7p3rZ8)。 [维基百科条目](https://zh.wikipedia.org/wiki/HTTP%E5%85%AC%E9%92%A5%E5%9B%BA%E5%AE%9A)。
IdenTrust : [证书颁发机构](#def-CA)。 IdenTrust [交叉签名](#def-cross-signing)了 [Let’s Encrypt](#def-LE) 的[中间证书](#def-intermediate):[/certificates](/certificates)。 [维基百科条目](https://en.wikipedia.org/wiki/IdenTrust)
Let’s Encrypt (LE) : 由 [ISRG](#def-ISRG) 运营的[证书颁发机构](#def-CA)。 [维基百科条目](https://zh.wikipedia.org/wiki/Let%27s_Encrypt)
OCSP (在线证书状态协议 - Online Certificate Status Protocol) : 检查[证书](#def-leaf)的[吊销](#def-revocation)状态的方法。 也就是说,这是一个检查[证书颁发机构](#def-CA)是否表明证书不再有效(即使还没有到过期日期)的方法。 这种请求可能会造成隐私问题,因为它允许证书颁发机构的互联网服务提供商直接得知谁在在访问哪些网站。 [维基百科条目](https://zh.wikipedia.org/wiki/%E5%9C%A8%E7%BA%BF%E8%AF%81%E4%B9%A6%E7%8A%B6%E6%80%81%E5%8D%8F%E8%AE%AE)
OCSP 必须装订 (OCSP Must-Staple) : 告知[浏览器](#def-web-browser)使用该证书的[Web 服务器](#def-web-server)必须使用 [OCSP 装订](#def-OCSP-stapling)的[证书](#def-leaf)扩展。 它被用于确保浏览器在每次连接到 Web 服务器时都确认[证书](#def-leaf)的最新[吊销](#def-revocation)状态,以使吊销操作更加可靠。 如果被请求这么做,[Let’s Encrypt](#def-LE) 可以颁发带有“OCSP 必须装订”[扩展](#def-extension)的证书。 [Mozilla 安全博客文章](https://blog.mozilla.org/security/2015/11/23/improving-revocation-ocsp-must-staple-and-short-lived-certificates/) [RFC 7633](https://tools.ietf.org/html/rfc7633)
OCSP 装订 (OCSP stapling) : Web 服务器向浏览器发送由证书颁发机构签名的 OCSP 回复的方法。 该方法使得浏览器自身不必单独向 CA 发送 OCSP 请求,能够加快网页加载速度并增强安全性。 维基百科条目 Cloudflare
PEM 文件(.pem) (PEM file (.pem)) : 一种密码学信息的格式(原来作为“隐私增强型邮件”互联网标准的一部分被用于保护电子邮件)。 PEM 文档可以用于表示私钥、公钥、数字证书等信息。 这些文件以“—–BEGIN”加上数据类型开头。 [维基百科条目](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail)
RSA : 一种用于加密和数字签名证书的公钥加密算法。 [维基百科条目](https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95)
SSL (安全套接字层 - Secure Sockets Layer) : [TLS](#def-TLS) 以前的名字,仍旧很常用。
TLS (传输层安全 - Transport-Level Security) : HTTPS 用于加密和认证网页访问的协议。
TLSA : [DANE](#def-DANE) 中专门与验证 [TLS](#def-TLS) 连接有关的部分。
Web 服务器 (Web server) : 提供网页服务的软件(广义上也可以指运行该软件的硬件)。 [维基百科条目](https://en.wikipedia.org/wiki/Web_server)
X.509 : 定义了公钥证书格式的标准。 [维基百科条目](https://zh.wikipedia.org/wiki/X.509)
个人信息交换文件(.pfx) (Personal Information Exchange Files (.pfx)) : 可以包含[叶证书](#def-leaf)、其链接至根证书的[证书链](#def-chain)以及叶证书的私钥的文件。 详见 [https://en.wikipedia.org/wiki/PKCS\_12\]([https://en.wikipedia.org/wiki/PKCS\_12](https://en.wikipedia.org/wiki/PKCS_12))。 [微软硬件开发者中心](https://docs.microsoft.com/zh-cn/windows-hardware/drivers/install/personal-information-exchange—-pfx—files)
中间证书 (Intermediate certificate) : 被[根证书](#def-root)或另一个空间证书签名的,能够对其他证书签名的证书。 它们被用于在保持根证书的私钥离线的前体下对叶证书进行签名。 中间证书会被包含在[证书链](#def-chain)中。 [维基百科条目](https://zh.wikipedia.org/wiki/%E5%85%AC%E9%96%8B%E9%87%91%E9%91%B0%E8%AA%8D%E8%AD%89#%E8%AD%89%E6%9B%B8%E7%A8%AE%E9%A1%9E)
主体备用名称 (SAN - Subject Alternative Name) : [证书](#def-leaf)中用于指定其对哪些域名有效的字段。 它代替了[通用名称](#def-CN)字段(后者现在仅因兼容性原因而提供)。 单个证书可能包含多个 SAN 以使其对多个不同域名生效。 [维基百科条目](https://zh.wikipedia.org/wiki/%E4%B8%BB%E9%A2%98%E5%A4%87%E7%94%A8%E5%90%8D%E7%A7%B0) https://letsencrypt.org/docs/rate-limits/#names-per-certificate
互联网安全研究组 (ISRG - Internet Security Research Group) : 运营 [Let’s Encrypt](#def-LE) 的组织:[https://www.abetterinternet.org/about/\]([https://www.abetterinternet.org/about/](https://www.abetterinternet.org/about/))。 [维基百科条目](https://en.wikipedia.org/wiki/Internet_Security_Research_Group)
交叉签名 (Cross Signing) : 一个用于签发证书的证书可以被多个根证书签名。 例如,Let’s Encrypt的中间证书由 IdenTrust交叉签名,因为刚开始时 Let’s Encrypt 的根证书还没有被各个证书存储信任。 技术上讲,交叉签名需要两个有着相同主体和密钥对的证书,它们分别由 Let’s Encrypt 和 IdeaTrust 的根证书的私钥签名:/certificates。 维基百科条目
信任方 (Relying Party) : 依赖证书中的信息的人。 例如,访问 HTTPS 网站的人是一个信任方。
公共后缀列表 (PSL - Public Suffix List) : 由 Mozilla 维护的公共后缀的列表,它包含了那些可供大量实体注册的互联网域名。 例如,这个列表同时包含了 com
和 co.uk
,尽管 co.uk
不是 TLD。 网页浏览器使用这个列表和其他一些方法来防止可能是不同实体运营的网站互相共享 Cookies。 [Let’s Encrypt](#def-LE) 也使用这个列表来计算速率限制:[/rate-limits](/rate-limits)。 https://publicsuffix.org/
关键扩展 : 证书中的扩展可以标记为“关键”扩展, 如果软件不知道如何处理此扩展,就必须拒绝使用该证书。 这使得引入对于安全性十分重要的新扩展时不在较老的软件上造成风险成为可能。
准证书 (Precertificate) : 准证书时[证书透明度](#def-CT)的一部分。 准证书是CA想要颁发的[证书](#def-leaf)一份拷贝,但它带有一个[关键](#def-critical)的有毒扩展以防止它被其他软件接受。 CA 将准证书提交到 [CT 日志](#def-CT-log)以取得 [SCT](#def-SCT)。 由于准证书和它对应的证书并不完全相同,证书透明度日志可能最终会同时包含两者。 [RFC 6962 3.1 节]( https://tools.ietf.org/html/rfc6962#section-3.1)
叶证书(终端实体证书) (Leaf certificate (end-entity certificate)) : 大多数情况下,证书由[中间证书](#def-intermediate)签名,对一组域名有效,且不能对其他证书签名。 由 [ACME 客户端](#def-ACME-client)请求并由[Web 服务器](#def-web-server)使用的就是此类证书。 [维基百科条目](https://zh.wikipedia.org/wiki/%E5%85%AC%E9%96%8B%E9%87%91%E9%91%B0%E8%AA%8D%E8%AD%89#%E7%B5%82%E7%AB%AF%E5%AF%A6%E9%AB%94%E8%AD%89%E6%9B%B8)
吊销 (Revocation) : 证书在其到期之前一直有效,除非 [CA](#def-CA) 声明它被吊销了。 证书可能因包括私钥泄露在内的多种原因被吊销。 浏览器可以通过 [CRL](#def-CRL)、[OCSP](#def-OCSP) 或像 [OneCRL](https://blog.mozilla.org/security/2015/03/03/revoking-intermediate-certificates-introducing-onecrl/) 和 [CRLSets](https://dev.chromium.org/Home/chromium-security/crlsets) 一类的较新的方法来检查证书是否被吊销。 注意在许多情况下,[吊销证书是没有用的](https://www.imperialviolet.org/2011/03/18/revocation.html)。 [/docs/revoking](/docs/revoking)
国际化域名 (IDN - Internationalized Domain Name) : 含有除了 a
到 z
、0
到 9
以及短横线(-
)以外字符的域名。 比如,它们可以使用阿拉伯文、中文、西里尔文、泰米尔文、希伯来文或其他基于拉丁字母表的使用变音符号或连体字母的字符。 编码后的 IDN 域名以 xn--
开头。 [Let’s Encrypt](#def-LE) 支持 IDN:[https://letsencrypt.org/2016/10/21/introducing-idn-support.html\]([https://letsencrypt.org/2016/10/21/introducing-idn-support.html](https://letsencrypt.org/2016/10/21/introducing-idn-support))。 [维基百科条目](https://zh.wikipedia.org/wiki/%E5%9B%BD%E9%99%85%E5%8C%96%E5%9F%9F%E5%90%8D) - [RFC 5890](https://tools.ietf.org/html/rfc5890) - [RFC 5891](https://tools.ietf.org/html/rfc5891)
域名系统安全扩展 (DNSSEC - Domain Name System Security Extensions) : 使用密码学认证 DNS 回复的机制。 要使 DNSSEC 生效,必须在 TLD、域名所有者以及递归解析服务器上都进行部署。 目前其采用率较低。 维基百科条目
域名验证型证书 (Domain-validated certificate) : 申请者仅证明了其对域名(而非申请的组织)的控制权的证书。 Let’s Encrypt仅提供 DV 证书,不提供 OV或 EV证书:[常见问题]](/docs/faq) - 维基百科条目
基于 DNS 的实体认证 (DANE - DNS-based Authentication of Named Entities) : 使用 DNS 指明如何验证证书或加密密钥真伪的机制。 维基百科条目
完全限定域名 (FQDN - Fully qualified domain name) : 网站的完整域名。 例如 www.example.com
就是一个 FQDN 。
密钥对 (Key-pair) : 用于签名或加密的公钥和私钥的组合。 公钥通常嵌入在证书中,而私钥则独立保密存储。 根据不同的应用情况,密钥对可以用于加密和解密、签名和验证数据或是协商二级密钥。 [维基百科条目](https://zh.wikipedia.org/wiki/%E5%85%AC%E5%BC%80%E5%AF%86%E9%92%A5%E5%8A%A0%E5%AF%86)
对象标识符 (OID - Object identifier) : OID 是由国际电信联盟(ITU)和 ISO/IEC 标准化的具有唯一性的数字标识符。 在证书中,OID 被用于定义扩展、字段和政策断言。 互联网协议、[证书政策](#def-CP)和[证书实践声明](#def-CPS)文档定义了 OID 的使用情况。 [维基百科条目](https://en.wikipedia.org/wiki/Object_identifier)
应用程序中的国际化域名 (IDNA - Internationalized Domain Names for Applications) : 详见[国际化域名](#def-IDN)。
底线要求 (BRs - Baseline Requirements) : 一组针对 CA 的技术和政策上的要求。 由于所有根证书项目都包含了底线要求,CA 若要被大多数浏览器信任就必须遵循这些要求。
扩展验证 (EV - Extended Validation) : [CA](#def-CA) 验证对网站有控制权的法律实体的证书验证方式。 此类证书包含有该实体的相关信息。 [CA](#def-CA) 对此类证书的控制比 [OV](#def-OV) 证书要更严格。 [Let’s Encrypt](#def-LE) 不提供 EV 证书。 [维基百科条目](https://zh.wikipedia.org/wiki/%E6%89%A9%E5%B1%95%E9%AA%8C%E8%AF%81%E8%AF%81%E4%B9%A6)
服务器名称指示 (SNI - Server Name Indication) : 在 [TLS](#def-TLS) 握手时由[用户代理](#def-user-agent)发送给[服务器](#def-web-server),用于指定要连接的域名的字段。 当同一个 IP 地址下有多个域名时,它允许服务器能够使用正确的[证书](#def-leaf)回应请求。 Web 服务器可能会根据客户端用 SNI 指定的域名发送不同证书并且显示不同的内容。 SNI 没有被加密,但它的实验性的替代品 ESNI 是被加密的。 [维基百科条目](https://zh.wikipedia.org/wiki/%E6%9C%8D%E5%8A%A1%E5%99%A8%E5%90%8D%E7%A7%B0%E6%8C%87%E7%A4%BA)
根证书 (Root certificate) : 由[证书颁发机构](#def-CA)控制,用于对[中间证书](#def-intermediate)签名且包含在[证书存储](#def-store)内的[自签名](#def-self-signed)证书。 [维基百科条目](https://zh.wikipedia.org/wiki/%E6%A0%B9%E8%AF%81%E4%B9%A6)
根证书项目 (Root Program) : 有关组织用于确定在其[证书存储](#def-store)中包含哪些证书(即哪些 CA 被其软件信任)的政策。
椭圆曲线加密 (ECC - Elliptic Curve Cryptography) : 基于椭圆曲线的公钥密码学。 相较于非椭圆曲线的加密方式,ECC 在提供同等的安全性的前提下使用更小的密钥。 参见 Cloudflare 和维基百科条目。
测试 (Staging) : [Let’s Encrypt](#def-LE) 提供了用于在不会影响速率限制的前提下测试证书请求的测试 API。 由测试环境生成的证书是不 被信任的。 测试环境应仅用于测试、调试和 ACME 客户端开发的目的。 [/docs/staging-environment](/docs/staging-environment)
混合内容 (Mixed content) : 在 HTTPS 网页中通过 HTTP 加载子资源(JavaScript、CSS 或图片)。 [浏览器](#def-web-browser)可能会阻止加载混合内容,或者在有混合内容时将页面标记为较不安全:[https://developer.mozilla.org/zh-CN/docs/Security/MixedContent\]([https://developer.mozilla.org/zh-CN/docs/Security/MixedContent](https://developer.mozilla.org/zh-CN/docs/Security/MixedContent))。 要解决混合内容的问题,网页开发者必须把所有资源都改为使用 HTTPS 链接。 浏览器中的[开发者工具](https://developer.mozilla.org/zh-CN/docs/Learn/Discover_browser_developer_tools)可以用于帮助找出导致混合内容问题的资源。
用户 (Subscriber) : 请求证书的个人或组织。
用户代理 (User Agent) : 能够与[Web 服务器](#def-web-server)通信的软件。 例如:[网页浏览器](#def-web-browser)和 [cURL](https://zh.wikipedia.org/wiki/CURL)。
真实名称记录 (CNAME - Canonical Name record) : 将一个域名映射到另一个域名(称为真实名称)的 DNS 记录。 维基百科条目
签名证书时间戳 (SCT - Signed Certificate Timestamp) : [证书透明度日志](#def-CT-log)提供的经过签名且可验证的对发布证书的承诺。 使用 [CT](#def-CT) 浏览器会在网站的证书或是 [TLS](#def-TLS) 握手消息中检查 SCT 是否存在,并拒绝连接到不符合其日志要求的网站。 这使得欺诈性的或错误的证书更容易被检测出来。 https://www.certificate-transparency.org/how-ct-works
组织验证 (OV - Organization Validation) : [CA](#def-CA) 验证了[用户](#def-subscriber)的法律实体后颁发的证书。 此类证书包含有该实体的相关信息。 [Let’s Encrypt](#def-LE) 不提供 OV 证书。 [维基百科条目](https://zh.wikipedia.org/wiki/%E5%85%AC%E9%96%8B%E9%87%91%E9%91%B0%E8%AA%8D%E8%AD%89#%E7%B5%84%E7%B9%94%E9%A9%97%E8%AD%89%EF%BC%88OV%EF%BC%89)
统一通信证书 (UCC - Unified Communications Certificate) : 包含多个[主体备用名称(SAN)](#def-SAN)的证书。
网页浏览器 : 一类用于显示网页内容的用户代理, 例如 Mozilla Firefox、Google Chrome 和 Safari。 参见维基百科条目。
自签名证书 (Self-signed certificate) : 由其自己的私钥签名,并且[主体](#def-subject)与[颁发者](#def-issuer)相同的证书。 自签名证书仅会因为现实世界的事先安排(例如加入到[受信任的根证书列表](#def-store)中)而被信任。 [根证书](#def-root)都是自签名的。 [维基百科条目](https://en.wikipedia.org/wiki/Self-signed_certificate)
证书 (Certificate) : 包含公钥以及其他一些描述何时使用该公钥的信息的特定格式的文件。 叶证书是最常见的证书类型。 另外还有中间证书和根证书这两种证书。
证书主体 (Certificate subject) : 证书的“主体”字段指明其内容 它通产包含通用名称、国家以及组织等字段。
证书吊销列表 (CRL - Certificate Revocation List) : 通知用户代理证书的吊销状态的方法。 这是一个由 CA 签名的,包含了所有已被该 CA 吊销的证书的序列号的列表。 维基百科条目
证书存储 (Certificate Store) : 证书存储包含有受信任的根证书的列表。 操作系统(如 Windows、Android、Debian)和网页浏览器(如 Firefox)都维护有证书存储。 没有证书存储的浏览器依赖于操作系统的证书存储。 Let’s Encrypt提供的证书被大多数证书存储信任。
证书实践声明 (CPS - Certification Practice Statement) : 证书颁发机构对证书进行颁发、管理、吊销、续期、更换密钥时所采用的实践的声明。 ISRG 证书实践声明 - RFC 3647 3.4 节 维基百科条目
证书扩展 (Certificate extension) : 在证书中,大多数字段都是由扩展来定义的。 例如,主体备用名称和 AIA都是扩展。 扩展机制使得添加并非原始X.509标准一部分的新字段成为可能。
证书政策 (CP - Certificate Policy) : 一组指明证书对于一个特定的有着共同安全要求的社区和/或应用类型的适用性的规则 体颁发过程的细节由 CPS 描述。 ISRG 证书政策 - RFC 3647 - 维基百科条目
证书签名请求 (CSR - Certificate Signing Request) : 包含了 CA 生成证书时所需信息的经过签名的文件。 Let’s Encrypt需要的信息有通用名称、主体备用名称以及主体公钥信息。 通常,客户端应用程序会自动为用户生成 CSR,Web 托管提供商或相关设备也可能会生成 CSR。 维基百科条目
证书透明度 (CT - Certificate Transparency) : 为了增强安全性,证书(或准证书)必须被发布到证书透明度日志上:[https://www.certificate-transparency.org/\]。 Let’s Encrypt生成并发布准证书并在之后的证书中包含了准证书的 SCT列表。 部分浏览器(如 Google Chrome)要求这一可验证的承诺必须出现在证书中,以便其验证该证书。 维基百科条目
证书透明度日志 (Certificate Transparency Log) : 证书透明度的一个组件。它接收证书和准证书并将它们添加到一个永久、可验证、公开的列表中。
证书链 (Certificate chain) : 帮助用户代理决定它是否可以信任叶证书(终端实体证书)的,将该证书链接到证书存储中的根证书的中间证书列表。 注意:证书链并不总是唯一的,即使网站提供了链接到一个根证书的证书链,用户代理仍可能会选择使用另一个证书链来验证证书。 维基百科条目
证书颁发机构 (CA - Certificate Authority) : 颁发证书的组织。 Let’s Encrypt、IdenTrust、Sectigo 和 DigiCert 都是证书颁发机构。 维基百科条目
证书颁发者 (Certificate issuer) : 证书中的”颁发者”字段描述了对该证书进行签名的证书。 例如,Let’s Encrypt 颁发的终端实体证书的颁发者字段可能是:“Issuer: C = US, O = Let’s Encrypt, CN = Let’s Encrypt Authority X3”。 它通常包含[通用名称](#def-CN)、国家、组织等字段。 颁发者字段必须与某个证书的[主体](#def-subject)字段一致。 对于[自签名证书](#def-self-signed)(例如[根证书](#def-root))来说,颁发者字段和其主体字段内容相同。 “颁发者”这个词也可以被用于指代颁发其他证书的证书([中间证书](#def-intermediate)或根证书)或组织。
通用名称 (CN - Common Name) : 用于描述证书内容的主体信息的一部分。 对于根证书和中间证书来说它是证书颁发机构的人类可读的名字。 对于叶证书来说它是证书上的域名之一。 注意:通用名称最长 63 个字符。 它曾被用于指示证书适用的域名,但现在已被废弃,因为当前的互联网标准要求软件仅通过检查主体备用名称来确定证书的适用性。
通配符证书 (Wildcard Certificate) : 对整一级子域名有效的证书。 例如,含有 *.example.com
[SAN](#def-SAN) 的证书对 blog.example.com
和 www.example.com
都有效,但是对 bork.bork.example.com
或 example.com
都无效。 在子域名处使用星号(*)即表示通配符。 [Let’s Encrypt](#def-LE) [从 2018 年 3 月起提供通配符证书](https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579)。 [维基百科条目](https://zh.wikipedia.org/wiki/%E9%80%9A%E9%85%8D%E7%AC%A6%E8%AF%81%E4%B9%A6)
顶级域名 (TLD - Top-Level Domain) : 分级域名系统中的最高等级,例如 .de
(德国)、.cn
(中国)一类的国家顶级域名(ccTLD)和 .com
、.org
一类的通用顶级域名(gTLD)。 [维基百科条目](https://zh.wikipedia.org/wiki/%E9%A0%82%E7%B4%9A%E5%9F%9F)
颁发机构信息访问 (AIA - Authority Information Access) : 用于提示用户代理获取证书颁发者信息的方法的证书扩展。 它通常会指定用于 OCSP 的 URI 地址和颁发者的 URI 地址。