什么是SSL证书?定义及指南

SSL证书是什么,有什么作用?了解如何为你的网站获取SSL证书,并对网络流量进行加密。

互联网初期,所有网站的请求和响应都以“明文”形式传输。这意味着数据可能被窃取、偷窥,因此,传输登录凭证、信用卡号等敏感的个人信息时,用户不得不面临一些风险。

在90年代中期,网景公司(Netscape)开发了一个安全协议,用于加密网络传输中的敏感信息,这个协议被称为加密套接字协议层,也就是“SSL”。之后,又发展出传输层安全性协议,即TLS。

尽管SSL和TLS在功能和架构上有所不同,但都通过SSL证书的数字技术,为数据提供安全保护。

什么是SSL证书?

SSL证书是一种数字证书,可验证网站的身份并在网站与浏览器之间创建加密连接。SSL证书有时被称为“SSL/TLS证书”或简称“证书”。

SSL证书保护远程连接的身份,确保在线交互是私密的,确保除了发送者和接收者之外,没有人能够读取或修改通过安全连接共享的内容。SSL证书像护照一样验证网站所有者的身份,同时像钥匙一样通过强加密保持用户数据的安全。

什么是SSL证书颁发机构(CA)?

SSL证书由称为证书颁发机构的机构颁发。CA是一个受信任的第三方组织,保证网站的身份。因为他们数量有限,众所周知,且必须通过高标准的门槛,所以被信任。全球有一百多个证书颁发机构,他们被审计以被纳入为网页浏览器和操作系统供应商的受信任根。

在颁发证书之前,CA将根据行业标准核实证书请求者的信息,如站点所有权、名称、位置等。CA还会用自己的私钥对证书进行数字签名,以便客户端进行验证。为了提供此服务,大多数CA会收取一小笔年费(尽管一些网络托管和非营利组织的CA提供免费SSL证书)。

实际的SSL证书是一个小的数字文件,通常只有几千字节,安装在支持TLS的服务器上并与其他人共享。这个文件包含:

  • 网站的域名
  • 证书颁发的组织(证书持有者)
  • 颁发证书的证书颁发机构的名称
  • 证书颁发机构的数字签名
  • 任何相关的子域名
  • 证书的发行日期和到期日期
  • 公钥(注意:不共享私钥)

每当你使用浏览器连接到以“https”开头的链接,或者在浏览器地址栏看到一个绿色的锁标志时,就意味着你拥有一个通过CA颁发的SSL证书验证的安全TLS连接。点击锁标志将显示关于SSL证书、域名所有者和连接的附加信息。

虽然这个锁标志意味着你与该网站的连接是安全的,但这并不必然意味着该网站是安全的。也就是说,仅因为你可以安全地连接到一个网站,并不意味着它不是由不法行为者控制的。

SSL证书是如何工作的?

SSL证书使用加密算法来混淆传输中的数据。这确保了浏览器和网站之间传输的任何数据都不可能被第三方读取。

通过TLS的安全通信依赖于两个证书——一个公钥和一个私钥——来创建安全连接。

当浏览器尝试连接到一个使用TLS安全的网站时,该通信是通过一个“握手”过程建立的,即来回通信仅需要几毫秒。此握手步骤包括:

  1. 客户端(浏览器)连接到SSL安全的网站(服务器)。
  2. 客户端要求服务器表明身份。
  3. 服务器发送一份其SSL证书的副本。
  4. 客户端检查SSL证书的可信度,并向服务器发出信号,如果检查通过。
  5. 服务器启动一个数字签名的协议,开始SSL加密会话。
  6. 加密的数据现在可以在浏览器和服务器之间自由且安全地流动。

初始的握手过程使用非对称加密,基于公钥和私钥。验证之后,客户端和服务器交换临时的私钥,仅用于本次会话。这使得加密和解密更加高效。

SSL证书的类型

要充分利用SSL,你需要选择正确的SSL证书。标准SSL证书有三种类型:

  1. 域名验证(DV)证书
  2. 组织验证(OV)证书
  3. 扩展验证(EV)证书

不同的SSL证书服务于不同的目的,并具有不同的成本。

域名验证(DV)证书

费用:0~99美元(约700元人民币)/年

DV SSL证书涉及最小化的自动化身份验证,仅确立证书拥有者对域名或子域名的控制权。这通常通过电子邮件完成。

DV SSL证书是获得证书的最经济方式,大多数免费SSL证书都是这种类型。然而,它代表了网站安全的最低标准。DV证书适用于博客、个人网站、小企业或只需基本安全需求的任何网站。

组织验证(OV)证书

费用:100~999美元(约700~7000元人民币)/年

OV SSL证书提供对持有者身份更强的保证。要获得OV证书,购买者必须通过九项验证检查。

这是一种中级商业证书,发行CA保证与证书相关的组织是有效并且信誉良好的。这种方法适合那些不通过其网站进行财务或电子商务交易的企业。

扩展验证(EV)证书

费用:1000美元以上(约7000元人民币)/年

EV SSL证书代表最高等级的身份验证,最适合公司、金融实体和电子商务网站。涉及十六项验证检查,包括法律身份和实际位置。

最终用户会看到浏览器栏变绿,表示达到了最高验证级别,以及锁标志后面的额外公司信息。

如果需要保护多个域名怎么办?

单个SSL证书保护单个域名。然而,许多企业需要一种解决方案来保护多个域名或子域名。对于这些企业,SSL协议提供了两种不同的解决方案:通配符SSL证书或多域SSL证书。

通配符SSL证书

一些企业使用多个子域名(例如,mail.example.com,shop.example.com)来在同一网站上服务不同功能。对这些组织来说,最佳的SSL解决方案通常是通配符SSL证书。通配符SSL证书保护网站的主域名以及任何关联的子域名,降低成本并简化管理。

多域SSL证书

虽然通配符SSL证书帮助网站所有者保护单个域名中的子域名,但多域SSL证书(MDC)可以一次性保护多个域名。可以通过“主题替代名称”(SANs)添加额外的域名到多域证书中,而无需获得额外的单域SSL证书。多域SSL证书有时被称为统一通信证书(UCC)。

阅读更多什么是网络托管?

如何获取SSL证书?

获取单域或多域SSL证书并在网站上保护用户数据的流程可能很复杂。以下是操作方法:

  1. 确定网站安全需求的等级。 在DV,OV或EV SSL之间选择。如果你有多个域名或子 域名,可能需要添加或替换通配符或MDC证书。审查你的组织需求和预算,并选择适当的身份验证级别。
  2. 确定需要支持的域名和子域名。 如果你只有一个,可能不需要获得通配符证书。
  3. 选择证书颁发机构/供应商。 对于较低端需求,你可能只需与你的网络托管提供商合作并获得免费证书。多域和EV证书将涉及与证书颁发机构的付费关系。多比较几家。
  4. 从所选的SSL提供商处请求证书。 这通常涉及填写网上表格和支付费用。
  5. 验证所有权和其他详细信息。 CA将跟进验证你在申请中提交的信息,至少需要电子邮件验证域名所有权。
  6. 获取并安装证书。 这一步骤取决于你选择的CA和你的网络平台。通常,你将下载一个包含三个密钥的ZIP文件:公钥、私钥和证书颁发机构捆绑包。如果你与商业网络主机合作,你的站点的管理控制台通常会包含证书安装的工具。如果你在自己的硬件上工作,更接近操作系统和网络服务器,则遵循该环境的文档。
  7. 配置其他应用程序使用证书。 如果你打算支持服务器上其他应用程序的SSL连接(例如WordPress、电子邮件等),你将需要配置它们使用你的证书和TLS协议。
  8. 确认你的安全连接是否正常工作。 连接到你的网站和/或其他应用程序并确保你拥有一个安全连接。点击锁标志并查看你的浏览器中显示的信息。
  9. 将你的网站提交给搜索引擎。 你的新"https"网站不同于旧的"http"网站。如果你的用户依赖搜索引擎来找到你,你需要将你的新https网址重新提交给这些引擎进行索引。

SSL证书常见问题

SSL证书是否必需?

对于任何需要用户输入个人信息的网站,SSL证书都是必需的。即使你的网站没有处理敏感数据,也强烈推荐使用SSL证书:搜索引擎会对没有它们的网站进行惩罚,浏览器会警告用户网站不安全,导致流量损失。

如何获取SSL证书?

  • 确定所需的安全级别。
  • 确定需要支持的域名和子域名。
  • 选择证书颁发机构/提供商。
  • 向所选择的提供商请求证书。
  • 验证域名所有权和其他标准。
  • 获取并安装证书。
  • SSL与TLS有何区别?

    传输层安全性 (TLS) 是SSL的后继者。虽然TLS在SSL的基础上做了一些改进,但两个术语经常互换使用。两种协议的工作方式相同,都是通过加密来确保发件人和收件人之间数据的安全传输。

    有哪些类型的SSL证书?

    • 域名验证 (DV) 证书
    • 组织验证 (OV) 证书
    • 扩展验证 (EV) 证书
    • 通配符SSL证书
    • 多域SSL证书 (MDC)