Certificate Authority (CA) là gì? Hoạt động như thế nào trong hệ thống SSL/TLS

Cập nhật lần cuối: 20/05/2026

Certificate Authority (CA) là tổ chức trong hệ thống PKI chịu trách nhiệm xác thực danh tính và cấp chứng chỉ số SSL/TLS cho website. Bài viết giải thích vai trò của CA, cách CA xác thực CSR, cơ chế ký chứng chỉ và mô hình chuỗi tin cậy giúp HTTPS hoạt động an toàn trên Internet.

Certificate Authority (CA) là gì?

1. Certificate Authority là gì?

Certificate Authority (CA) là tổ chức hoặc hệ thống có nhiệm vụ:

• Xác thực danh tính website hoặc doanh nghiệp
• Cấp phát chứng chỉ số (SSL/TLS certificate)
• Ký chứng chỉ để trình duyệt có thể tin tưởng

Xem thêm: PKI là gì?

CA là thành phần trung tâm trong hệ thống PKI, đóng vai trò tạo “niềm tin số” trên Internet.

2. CA hoạt động trong hệ thống SSL/TLS như thế nào?

CA không trực tiếp tham gia vào quá trình truyền dữ liệu, mà hoạt động ở giai đoạn:

• Cấp chứng chỉ ban đầu
• Xác thực danh tính domain hoặc doanh nghiệp
• Duy trì hệ thống trust store cho trình duyệt

Xem thêm: SSL là gì?

Các loại Certificate Authority

1. Root CA là gì?

Root CA là cấp cao nhất trong hệ thống CA:

• Được tích hợp sẵn trong trình duyệt và hệ điều hành
• Là nguồn gốc của mọi chuỗi tin cậy
• Có quyền ký Intermediate CA

Xem thêm: Certificate chain là gì?

2. Intermediate CA là gì?

Intermediate CA là tầng trung gian:

• Được Root CA ký và cấp quyền
• Trực tiếp ký certificate cho website
• Giảm rủi ro nếu Root CA bị lộ

3. Issuing CA là gì?

Issuing CA là CA trực tiếp cấp certificate cho website:

• Nhận CSR từ server
• Xác thực thông tin
• Phát hành SSL certificate

CA xác thực chứng chỉ như thế nào?

1. Nhận CSR từ server

Website tạo CSR và gửi đến CA.

Xem thêm: CSR là gì?

CSR chứa:

• Domain name
• Public key
• Thông tin tổ chức

2. Xác thực danh tính

CA kiểm tra theo mức độ chứng chỉ:

• DV SSL: xác thực domain
• OV SSL: xác thực doanh nghiệp
• EV SSL: xác thực nâng cao

Xem thêm: DV, OV, EV SSL là gì?

3. Cấp chứng chỉ số

Sau khi xác thực:

• CA ký certificate bằng private key của CA
• Trả certificate về cho server

CA ký chứng chỉ như thế nào?

1. Cơ chế ký số

CA sử dụng private key để ký certificate:

Certificate = Public Key + Domain + CA Signature

2. Ý nghĩa của chữ ký CA

Chữ ký số đảm bảo:

• Certificate không bị chỉnh sửa
• Nguồn gốc certificate được xác minh
• Trình duyệt có thể kiểm tra tính hợp lệ

Certificate Chain

1. Mô hình chuỗi tin cậy

CA hoạt động theo mô hình phân tầng:

• Root CA
• Intermediate CA
• Server Certificate

Xem thêm: Certificate chain là gì?

2. Trình duyệt tin tưởng CA như thế nào?

• Root CA nằm trong trust store của browser
• Intermediate CA được ký bởi Root CA
• Server certificate được ký bởi Intermediate CA

Nếu chuỗi hợp lệ → trình duyệt tin tưởng kết nối HTTPS.

Các loại SSL CA cấp

1. DV SSL (Domain Validation)

• Xác thực quyền sở hữu domain
• Cấp nhanh, tự động
• Phù hợp website cá nhân

2. OV SSL (Organization Validation)

• Xác thực doanh nghiệp
• Cần thông tin pháp lý
• Mức độ tin cậy cao hơn DV

3. EV SSL (Extended Validation)

• Xác thực doanh nghiệp nâng cao
• Quy trình kiểm tra nghiêm ngặt
• Dùng cho ngân hàng, tổ chức lớn

Tại sao CA quan trọng?

1. Tạo hệ thống niềm tin Internet

CA giúp xác minh website thật giả thông qua certificate.

2. Ngăn chặn tấn công MITM

Nếu không có CA, hacker có thể giả mạo chứng chỉ để nghe lén dữ liệu.

3. Chuẩn hóa HTTPS toàn cầu

CA giúp tất cả trình duyệt và website hoạt động theo cùng một hệ thống trust.

Xem thêm: HTTPS là gì?

Luồng hoạt động thực tế của CA

1. Server tạo CSR

Website tạo CSR và private key.

2. Gửi CSR đến CA

CSR được gửi để yêu cầu cấp chứng chỉ.

3. CA xác thực

CA kiểm tra domain hoặc doanh nghiệp.

4. CA cấp certificate

CA ký và trả certificate về server.

5. Browser xác thực

Trình duyệt kiểm tra chuỗi tin cậy trước khi cho phép HTTPS hoạt động.

Kết luận

Certificate Authority (CA) là thành phần trung tâm trong hệ thống PKI, chịu trách nhiệm xác thực danh tính và cấp phát chứng chỉ số, giúp HTTPS trở thành một hệ thống bảo mật đáng tin cậy trên Internet.