什麼是公鑰基礎設施

公鑰基礎設施（PKI）是一套用於實現網路身分驗證的系統。PKI 透過金鑰對、數位憑證及可信賴機構，對網站、應用程式或使用者身分進行認證，是 HTTPS、程式碼簽章、電子郵件加密等應用的基礎。在 Web3 領域，PKI 結合錢包簽章與去中心化身分（DID）解決方案，共同保障連線與軟體發佈的安全性。PKI 亦具備憑證註銷與稽核機制，可即時偵測並阻斷已遭洩漏的憑證。

內容摘要

PKI（公鑰基礎設施）是一種安全框架，用於管理數位憑證和公私鑰對，以驗證網路中使用者和裝置的身分。

透過數位憑證和憑證頒發機構（CA），PKI 在去中心化環境中建立信任機制。

在 Web3 中，PKI 是錢包安全、交易簽章和智慧合約驗證的技術基礎。

公鑰用於加密資料和驗證身分，私鑰則用於解密和簽章，兩者協同運作以確保通訊安全。

什麼是公鑰基礎設施（PKI）？

公鑰基礎設施（PKI）是一套規範與服務，旨在讓您的數位身分於網路上獲得驗證。PKI 將公開識別資訊與僅有實體本身可控的私密資訊綁定，使瀏覽器、應用程式與用戶能夠建立可信賴的加密連線。

PKI 的核心組成包括密鑰對、數位憑證以及廣受信賴的權威機構。密鑰對就像「鎖與鑰匙」：公鑰如同所有人可見的鎖，私鑰則僅由持有者掌控。數位憑證則類似官方核發的「身分證」，用於登記公鑰與特定網域或組織的關聯。受信賴的權威機構負責驗證並簽發憑證，確保這些「身分證」的合法性受到他人信任。

PKI 如何建立信任鏈？

PKI 透過自上而下的「信任鏈」機制建立信任，從內建的信任根層延伸至中介機構，最終抵達終端用戶憑證。

信任鏈的最上層是「根憑證」，預先安裝於作業系統或瀏覽器。中介機構基於根憑證授權簽發「中介憑證」，伺服器或服務憑證（即網站憑證）則由這些中介憑證簽署。瀏覽器驗證時，會依序檢查「伺服器憑證 → 中介憑證 → 根憑證」路徑，每一步都會驗證簽章、有效期限及用途。

信任鏈只要有任何一環遭撤銷或不被信任，整條鏈就會中斷——瀏覽器將發出警告或阻擋存取。信任鏈的優勢在於可靈活管理「信任對象」，方便稽核與替換。

PKI 憑證是什麼？

在 PKI 架構中，憑證是用來綁定公鑰與身分的電子「身分證」。每張憑證包含持有者資訊（如網域名稱或組織名稱）、公鑰、有效期限、用途範圍及簽發者的數位簽章。

憑證的驗證強度有所不同：網域驗證（DV）憑證僅驗證網域所有權，適合一般網站；組織驗證（OV）憑證則包含企業身分資訊，適合企業使用。憑證有效期限有限，須於到期前續期；憑證亦可能被撤銷，撤銷狀態可透過線上或下載名單查核，以防密鑰外洩或誤發。

您可點擊瀏覽器網址列的鎖形圖示查看憑證詳細資訊，進一步了解簽發者、有效期限與網域是否吻合。若資訊不符或已過期，瀏覽器會提示風險。

PKI 如何與 TLS 和 HTTPS 搭配運作？

PKI 支援 TLS 與 HTTPS 協定中的身分驗證與密鑰交換。在握手階段，伺服器會出示憑證，客戶端則負責驗證憑證鏈與網域。信任建立後，雙方協商會話密鑰，進行後續加密通訊。

當您造訪以「https://」開頭的網站時，瀏覽器會自動驗證伺服器憑證，有效防範中間人攻擊，保護密碼與金融資料免於釣魚。至 2025 年，多數主流網站皆已採用 HTTPS，瀏覽器也會限制在不安全的 HTTP 頁面輸入敏感資訊。

舉例來說，透過網頁或 App 登入 Gate 時，所有通訊皆採用由受信賴機構簽發的伺服器憑證之 HTTPS，裝置會驗證憑證鏈與網域（如「Gate.com」），驗證通過後才會建立加密連線，大幅降低釣魚風險。開發者呼叫 Gate API 時，SDK 與工具同樣透過 HTTPS 連線，確保 API 密鑰與交易指令不被攔截或竄改。

如何於 PKI 架構中申請與管理憑證？

於 PKI 架構下管理憑證主要包含以下關鍵步驟：

產生密鑰對。使用伺服器或開發機工具產生公鑰與私鑰，務必妥善保管私鑰，建議儲存於專用硬體或加密設備。
準備憑證簽署請求（CSR）。此檔案包含公鑰與網域資訊，相當於申請「身分證」的資料包。
提交給信賴機構。將 CSR 送交憑證簽發機構（CA）驗證，通過後由 CA 簽發憑證。
安裝與設定。將簽發的憑證及中介憑證部署至伺服器，啟用 HTTPS 並確認網域相符與憑證鏈完整，避免瀏覽器出現錯誤。
自動續期與監控。設置到期提醒或自動續期工具，監控憑證有效性與撤銷狀態，避免服務中斷。
私鑰安全。限制私鑰存取權限，定期更換密鑰，若發生外洩應立即撤銷舊憑證並重新簽發。

PKI 在 Web3 領域的角色

在 Web3 生態中，PKI 主要負責保障接入點與發佈管道安全，並與鏈上簽章協同實現端對端信任。

首先，節點與閘道的連線需有安全保障。造訪區塊鏈節點 RPC 介面時，HTTPS 能確保連線至合法服務，避免交易被發送到惡意節點。

其次，錢包與應用發佈需具備可靠性。透過憑證進行程式碼簽章，作業系統可驗證軟體包確實來自開發者，降低惡意軟體風險。用戶下載桌面錢包或瀏覽器外掛時，系統會於安裝前驗證憑證有效性。

第三，稽核與透明性同樣重要。憑證透明性日誌會將每張新憑證記錄於可公開稽核的帳本，類似公有區塊鏈，讓社群與安全工具能快速發現異常憑證。

PKI 與去中心化身分（DID）有何不同？

PKI 與去中心化身分（DID）分別從不同面向解決數位身分問題，且兩者可相輔相成。PKI 仰賴廣泛認可的權威機構與系統信任錨，為網域或組織建立線上身分；DID 則將控制權交回個人，用戶可用加密密鑰自主證明「我就是我」，無需傳統機構背書。

PKI 適合網站存取、軟體發佈等廣泛相容場景；DID 則適用於鏈上互動、可驗證憑證和去中心化應用（dApp）。許多方案會結合兩者：以 PKI 保護網路連線與發佈管道，DID 則管理應用內用戶身分與權限。

使用 PKI 可能面臨哪些風險？

PKI 並非萬無一失，使用者應注意以下風險與因應措施：

權威機構遭入侵或驗證失誤：CA 若因遭入侵或疏失簽發偽造憑證，攻擊者可能短暫「被信任」。憑證透明性日誌與監控服務有助於即時發現異常並撤銷憑證。
相似網域釣魚：即使連線加密，偽造網域仍可能誤導使用者。務必仔細核對網域與憑證資訊後再輸入敏感資料。
私鑰外洩或憑證過期：服務提供者應強化私鑰儲存、設置到期提醒並自動續期。用戶遇到憑證警告時應暫停敏感操作並查明原因。
混合內容與設定錯誤：載入不安全資源會削弱整體網站安全。請確保所有資源皆透過 HTTPS 並完整部署憑證鏈。

公鑰基礎設施重點整理

PKI 透過密鑰、憑證與受信賴機構讓數位身分得以驗證，是 HTTPS、程式碼簽章等安全技術的核心。信任經由憑證鏈傳遞，撤銷與透明性機制有助於及時發現並阻斷威脅。在 Web3 領域，PKI 保護連線與軟體發佈管道，DID 保障用戶主權身分，兩者常合併運用以實現全面安全。請務必重視私鑰安全、網域驗證及憑證全生命週期管理，以最大幅度降低釣魚風險及設定錯誤。