什么是SSL证书?定义及指南

by Shopify Staff

SSL证书是什么,有什么作用?了解如何为你的网站获取SSL证书,并对网络流量进行加密。

互联网初期,所有网站的请求和响应都以"明文"形式传输。这意味着数据可能被窃取、偷窥,因此,传输登录凭证、信用卡号等敏感的个人信息时,用户不得不面临一些风险。

在90年代中期,网景公司(Netscape)开发了一个安全协议,用于加密网络传输中的敏感信息,这个协议被称为加密套接字协议层,也就是"SSL"。之后,又发展出传输层安全性协议,即TLS。

尽管SSL和TLS在功能和架构上有所不同,但都通过SSL证书的数字技术,为数据提供安全保护。

Table of contents

什么是SSL证书?

SSL证书是一种数字证书,可验证网站的身份并在网站与浏览器之间创建加密连接。SSL证书有时被称为"SSL/TLS证书"或简称"证书"。

SSL证书保护远程连接的身份,确保在线交互是私密的,确保除了发送者和接收者之外,没有人能够读取或修改通过安全连接共享的内容。SSL证书像护照一样验证网站所有者的身份,同时像钥匙一样通过强加密保持用户数据的安全。

什么是SSL证书颁发机构(CA)?

SSL证书由称为证书颁发机构的机构颁发。CA是一个受信任的第三方组织,保证网站的身份。因为他们数量有限,广为人知,并且满足较高的准入门槛,因此而被人信任。全球有一百多个证书颁发机构,他们会接受定期审计。

在颁发证书之前,CA将根据行业标准核实证书请求者的信息,如站点所有权、名称、位置等。CA还会用自己的私钥对证书进行数字签名,以便客户端进行验证。为了提供此服务,大多数CA会收取一小笔年费(尽管一些网络托管和非营利组织的CA提供免费SSL证书)。

实际的SSL证书是一个小的数字文件,通常只有几千字节,安装在支持TLS的服务器上并与其他人共享。这个文件包含:

  • 网站的域名
  • 证书颁发的组织(证书持有者)
  • 颁发证书的证书颁发机构的名称
  • 证书颁发机构的数字签名
  • 任何相关的子域名
  • 证书的发行日期和到期日期
  • 公钥(注意:不共享私钥)

每当你使用浏览器连接到以"https"开头的链接,或者在浏览器地址栏看到一个绿色的锁标志时,就意味着你拥有一个通过CA颁发的SSL证书验证的安全TLS连接。点击锁标志将显示关于SSL证书、域名所有者和连接的附加信息。

虽然这个锁标志意味着你与该网站的连接是安全的,但这并不必然意味着该网站是安全的。也就是说,仅因为你可以安全地连接到一个网站,并不意味着它不是由不法行为者控制的。

📚 阅读更多什么是网络托管?

SSL证书是如何工作的?

SSL证书使用加密算法来混淆传输中的数据。这确保了浏览器和网站之间传输的任何数据都不可能被第三方读取。

通过TLS的安全通信依赖于两个证书——一个公钥和一个私钥——来创建安全连接。

当浏览器尝试连接到一个使用TLS安全的网站时,该通信是通过一个"握手"过程建立的,即来回通信仅需要几毫秒。此握手步骤包括:

  1. 客户端(浏览器)连接到SSL安全的网站(服务器)。
  2. 客户端要求服务器表明身份。
  3. 服务器发送一份其SSL证书的副本。
  4. 客户端检查SSL证书的可信度,并向服务器发出信号,如果检查通过。
  5. 服务器启动一个数字签名的协议,开始SSL加密会话。
  6. 加密的数据现在可以在浏览器和服务器之间自由且安全地流动。

初始的握手过程使用非对称加密,基于公钥和私钥。验证之后,客户端和服务器交换临时的私钥,仅用于本次会话。这使得加密和解密更加高效。

SSL证书的类型

要充分利用SSL,你需要选择正确的SSL证书。标准SSL证书有三种类型:

  1. 域名验证(DV)证书
  2. 组织验证(OV)证书
  3. 扩展验证(EV)证书

不同的SSL证书服务于不同的目的,并具有不同的成本。

域名验证(DV)证书

费用:0~99美元(约700元人民币)/年

DV SSL证书涉及最小化的自动化身份验证,仅确立证书拥有者对域名子域名的控制权。这通常通过电子邮件完成。

DV SSL证书是获得证书的最经济方式,大多数免费SSL证书都是这种类型。然而,它代表了网站安全的最低标准。DV证书适用于博客、个人网站小企业或只需基本安全需求的任何网站。

组织验证(OV)证书

费用:100~999美元(约700~7000元人民币)/年

OV SSL证书提供对持有者身份更强的保证。要获得OV证书,购买者必须通过九项验证检查。

这是一种中级商业证书,发行CA保证与证书相关的组织是有效并且信誉良好的。这种方法适合那些不通过其网站进行财务或电商交易的企业。

扩展验证(EV)证书

费用:1000美元以上(约7000元人民币)/年

EV SSL证书代表最高等级的身份验证,最适合公司、金融实体和电商网站。涉及十六项验证检查,包括法律身份和实际位置。

最终用户会看到浏览器栏变绿,表示达到了最高验证级别,以及锁标志后面的额外公司信息。

HTTP与HTTPS的区别

HTTP(HyperText Transfer Protocol)是超文本传输协议,以明文形式在网站和访问者之间发送信息,任何人都可以拦截和阅读。就像通过邮件发送明信片一样,邮递员或分拣设施工作人员等任何处理明信片的人都可以阅读上面写的内容。

HTTPS(Hypertext Transfer Protocol Secure)是超文本传输协议安全版,使用SSL/TLS证书创建加密连接。任何正在传输的数据(如信用卡号或密码)都被加密成复杂的代码,只有你的网站和访问者的浏览器才能解密。就像再次发送那张明信片,但却是放在一个上锁的公文包里,只有你和接收者有钥匙。

HTTPS现已成为标准。现代浏览器为HTTPS网站显示锁的标志,让访问者相信该网站是合法和安全的;而对HTTP网站则标记为"不安全",这可能会立即吓跑潜在客户。

SSL证书被泄露时该怎么办

得知你的SSL证书被泄露就像发现有人复制了你的房门钥匙。这很严重,但有办法解决:

  • 立即响应。立即通过你的证书颁发机构(CA)撤销被泄露的证书。如果你怀疑有活跃攻击,暂时关闭你的网站。
  • 调查泄露事件。通知你的安全提供商并找出证书是如何被泄露的。检查你的服务器日志是否有异常活动,寻找未经授权访问或恶意软件的迹象,如来自异常IP地址的连接尝试或多次失败的证书验证尝试。
  • 获取新证书。向你的CA申请新的SSL证书。生成新的私钥(非常重要——不要重复使用旧的!)。然后,在你的服务器上安装和配置新证书。
  • 加强你的电商安全考虑切换到更安全类型的证书。设置自动监控以更快地发现未来问题。

如果需要保护多个域名怎么办?

单个SSL证书保护单个域名。然而,许多企业需要一种解决方案来保护多个域名或子域名。对于这些企业,SSL协议提供了两种不同的解决方案:通配符SSL证书或多域SSL证书。

通配符SSL证书

一些企业使用多个子域名(例如,mail.example.com,shop.example.com)来在同一网站上服务不同功能。对这些组织来说,最佳的SSL解决方案通常是通配符SSL证书。通配符SSL证书保护网站的主域名以及任何关联的子域名,降低成本并简化管理。

多域SSL证书

虽然通配符SSL证书帮助网站所有者保护单个域名中的子域名,但多域SSL证书(MDC)可以一次性保护多个域名。可以通过"主题替代名称"(SANs)添加额外的域名到多域证书中,而无需获得额外的单域SSL证书。多域SSL证书有时被称为统一通信证书(UCC)。

SSL证书过期时会发生什么?

当SSL证书过期时,就如同撤掉企业的信任徽章,会导致一些不好的后果:

  • 吓跑访问者。你的网站访客会在浏览器中看到警告信息。谷歌浏览器(Chrome)可能会显示一个大红屏,说"你的连接不是私密的",而火狐浏览器(Firefox)会警告访问者连接不安全。多数人看到这些警告时都会迅速点击返回按钮。
  • 损害SEO能力。谷歌这样的搜索引擎会优先考虑安全网站,对于SSL证书过期的网站,浏览器可能会降低这些网站在搜索引擎结果中的排名。这样,能够搜索到你网站的人就会减少。
  • 损害消费者信任。当客户看到安全警告时,就会质疑在你的网站上分享信用卡信息或个人详细信息的安全性。即使你修复了证书,有的客户可能也会在回访前三思。

💡 好消息:大多数SSL证书会持续一年,而有的提供商可以提供两年期的证书。过期日期会标注在证书上,是可以预测的。明智的做法,是至少在证书过期前几周续订。

如何获取SSL证书?

获取单域或多域SSL证书并在网站上保护用户数据的流程可能很复杂。以下是操作方法:

  1. 确定网站安全需求的等级。在DV,OV或EV SSL之间选择。如果你有多个域名或子域名,可能需要添加或替换通配符或MDC证书。审查你的组织需求和预算,并选择适当的身份验证级别。
  2. 确定需要支持的域名和子域名。如果你只有一个,可能不需要获得通配符证书。
  3. 选择证书颁发机构/供应商。对于较低端需求,你可能只需与你的网络托管提供商合作并获得免费证书。多域和EV证书将涉及与证书颁发机构的付费关系。多比较几家。
  4. 生成证书签名请求(CSR)。CSR文件包含域名和组织的信息,证书颁发机构(CA)使用该文件来生成你的SSL证书。CSR包含公钥,在申请SSL证书时必须提交给CA。
  5. 从所选的SSL提供商处请求证书。这通常涉及填写网上表格和支付费用。
  6. 验证所有权和其他详细信息。CA将跟进验证你在申请中提交的信息,至少需要电子邮件验证域名所有权。
  7. 获取并安装证书。这一步骤取决于你选择的CA和你的网络平台。通常,你将下载一个包含三个密钥的ZIP文件:公钥、私钥和证书颁发机构捆绑包。如果你与商业网络主机合作,你的站点的管理控制台通常会包含证书安装的工具。如果你在自己的硬件上工作,更接近操作系统和网络服务器,则遵循该环境的文档。
  8. 配置其他应用程序使用证书。如果你打算支持服务器上其他应用程序的SSL连接(如WordPress、电子邮件等),你将需要配置它们使用你的证书和TLS协议。
  9. 确认你的安全连接是否正常工作。连接到你的网站和/或其他应用程序并确保你拥有一个安全连接。点击锁标志并查看你的浏览器中显示的信息。
  10. 将你的网站提交给搜索引擎。你的新"https"网站不同于旧的"http"网站。如果你的用户依赖搜索引擎来找到你,你需要将你的新https网址重新提交给这些引擎进行索引。

立刻创建你的电商网站,享受自动的SSL保护

所有通过Shopify创建的网站都会自动拥有SSL证书,省时省力,还确保了客户数据的安全。Shopify凭借其自动设置的SSL、最高转化率的结账系统和强大的电商工具,让你可以更加自信从容地发展业务,享受安心的经营环境。

了解更多

SSL证书常见问题

SSL证书的费用是多少?

SSL证书的费用每年可能从50~1000美元(约350~7000元人民币)不等,具体取决于证书类型和验证级别。基本的域名验证(DV)证书每年的花费可能约50~70美元(约350~490元人民币),而提供最高安全性和验证的扩展验证(EV)证书可能花费1000美元(约7000元人民币)以上。

可以免费获取SSL证书吗?

你可以通过Let's Encrypt等服务获得免费的SSL证书,Let's Encrypt是一个受所有主要浏览器信任的非营利证书颁发机构。许多网络托管提供商的套餐里也包含了免费的SSL证书,但通常都是基本的域名验证证书。

SSL证书是否必需?

对于任何需要用户输入个人信息的网站,SSL证书都是必需的。即使你的网站没有处理敏感数据,也强烈推荐使用SSL证书:搜索引擎会对没有它们的网站进行惩罚,浏览器会警告用户网站不安全,导致流量损失。

如何获取SSL证书?

  1. 确定所需的安全级别。
  2. 确定需要支持的域名和子域名。
  3. 选择证书颁发机构/提供商。
  4. 向所选择的提供商请求证书。
  5. 验证域名所有权和其他标准。
  6. 获取并安装证书。

SSL与TLS有何区别?

传输层安全性 (TLS) 是SSL的后继者。虽然TLS在SSL的基础上做了一些改进,但两个术语经常互换使用。两种协议的工作方式相同,都是通过加密来确保发件人和收件人之间数据的安全传输。 

Back to News