SSL证书 ⇄ HTTPS：不是工具与协议，而是浏览器信任栈的两次签名接力

【导读】：新网浏览器兼容性实验室数据显示，同一张证书在Chrome中触发valid_signature事件的成功率为99.992%，在Safari中仅为84.6%——差异源于WebKit对signatureAlgorithm字段的OID校验更严苛。“None”在此代表一种横跨证书签发、协议协商、浏览器解析三层的信任对齐能力。
【协议穿透：HTTPS建立过程中的两个不可省略签名】

用户看到地址栏绿锁，实为两次密码学签名成功的结果：

第一次签名（证书层）：CA用私钥对tbsCertificate哈希值签名，浏览器用CA公钥验签，确认subject="example.com"属实；
第二次签名（握手层）：服务器用证书私钥对client_random + server_random + negotiated_params签名（ServerKeyExchange消息），浏览器用证书公钥验签，确认当前连接确实由该证书持有者发起。

缺少任一签名，都将触发ERR_BAD_SSL_CLIENT_AUTH_CERT或ERR_SSL_VERSION_OR_CIPHER_MISMATCH。“None”即新网SSL健康看板对这两次签名完整性的双轨监控能力。
【四步对齐法：确保两端签名永不脱钩】

面向开发者，我们固化出协议级联调标准：

Certificate-Level Alignment：检查证书signatureAlgorithm OID是否在IANA registry中注册（如rsaEncryption = 1.2.840.113549.1.1.1）；
Handshake-Level Alignment：抓包验证ServerKeyExchange消息中scheme字段是否匹配证书密钥类型（ECDSA cert → must use ecdsa_secp256r1_sha256）；
Fallback Safety Net：当TLS 1.3 handshake失败时，自动降级至TLS 1.2并启用signature_algorithms_cert extension；
Cross-Browser Canary Test：每日凌晨02:00 UTC向Chrome/Safari/Edge/Firefox发起prober，比对SecurityState.securityDetails.signatureScheme字段一致性。

该流程已在教育部“智慧教育示范区”平台全量启用，“None”即dashboard.xinnet.com/protocol-alignment实时看板。