什么是SSL证书?定义和指南

在互联网的早期，所有的网站请求和响应都是“纯文本”传输的。这意味着数字窃听者可能会看到它们，这使得传输登录凭证、信用卡号码和其他敏感的个人信息具有风险。

在90年代中期，网景公司开发了一种安全协议，用于加密传送和传输网络内容的机密信息。这个协议被称为SSL(安全套接字层)，后来演变成另一个协议称为TLS(传输层安全)。

虽然SSL和TSL在功能和体系结构方面有所不同，但它们都通过使用称为SSL证书的数字技术来提供安全性。

什么是SSL证书?

SSL证书是一种数字证书，用于验证网站的身份，并在网站和浏览器之间建立加密连接。SSL证书有时被称为“SSL/TLS证书”或简称为“证书”。

SSL证书保护远程连接的身份，并使在线交互具有私密性，确保除了发送方和接收方之外，没有人可以读取或修改通过安全连接共享的内容。SSL证书就像护照一样，可以验证网站所有者的身份，也像钥匙一样，通过强加密来保证用户数据的安全。

什么是SSL证书颁发机构(CA)?

SSL证书由称为证书颁发机构的组织颁发。CA是一个可信任的第三方机构，可以保证网站的身份。他们之所以受到信任，是因为他们人数少，知名度高，而且必须清除很高的进入壁垒。全球只有100多个证书颁发机构，它们被网络浏览器和操作系统供应商审计为受信任的根证书。

在颁发证书之前，CA根据已建立的行业标准验证证书请求者的信息，如站点所有权、名称、位置等。CA还使用自己的私钥对证书进行数字签名，使客户端能够对其进行验证。为了提供这项服务，大多数ca收取少量的年费(尽管有些ca提供免费的SSL证书)网络主机以及非营利ca)。

实际的SSL证书是一个小的数字文件，通常只有几千字节，安装在支持TLS的服务器上并与他人共享。该文件包含:

• 颁发证书的站点的域名
• 颁发证书的机构(证书持有人)
• 颁发证书的颁发机构的名称
• 证书颁发机构的数字签名
• 任何相关子域
• 证书颁发日期和过期日期
• 公钥(注意:私钥不共享)

当您使用浏览器连接到以“https”开头的URL时，或在浏览器地址栏中看到绿色挂锁图标时，您就知道您拥有一个由CA颁发的SSL证书验证的安全TLS连接。单击挂锁图标将显示有关SSL证书、域所有者和连接的其他信息。

虽然这个挂锁意味着您到该网站的连接是安全的，但并不一定意味着该网站可以安全使用。也就是说，仅仅因为你可以安全地连接到一个网站，并不意味着它不受不法分子的控制。

SSL证书是如何工作的?

SSL证书使用加密算法对传输中的数据进行加密。这确保了在浏览器和网站之间传输的任何数据都不可能被第三方读取。

TLS上的安全通信依赖于两个证书(一个是公共证书，一个是私有证书)来创建安全连接。

当浏览器试图连接到一个使用TLS保护的网站时，这种通信是通过“握手”建立的，或者只需要几毫秒的来回通信。握手的步骤如下:

1. 客户端(浏览器)连接到ssl安全的网站(服务器)。
2. 客户机要求服务器标识自己。
3. 服务器发送其SSL证书的副本。
4. 客户端检查SSL证书的可信度，如果通过则向服务器发送信号。
5. 服务器启动一个数字签署的协议，以启动ssl加密的会话。OB欧宝娱乐APP
6. 加密数据现在可以在浏览器和服务器之间自由安全地流动。

初次握手使用基于公钥和私钥的非对称加密。验证后，客户端和服务器交换临时私钥，仅用于会话。这允许更有效的加密和解密。

SSL证书类型

要充分利用SSL，您需要选择正确的SSL证书。标准SSL证书有三种类型:

1. 域验证(DV)证书
2. 组织验证(OV)证书
3. 扩展验证(EV)证书

不同的SSL证书的用途不同，成本也不同。

域验证(DV)证书

费用:每年0 - 99美元

DV SSL证书涉及最小的自动身份验证，仅建立所有者对域或子域的控制权。这通常是通过电子邮件完成的。

DV SSL证书是获得证书最便宜的方法，大多数免费SSL证书都是这种类型。但是，它代表了网站安全的最低标准。DV证书对于博客、个人网站、小型企业或任何具有最基本安全需求的网站都很有用。

OV (Organization-validated)证书

费用:每年100 - 999美元

OV SSL证书为持有者的身份提供了更强的保证。为了获得OV证书，买方必须通过九项验证检查。

这是一个中级业务证书，颁发证书的CA保证与该证书关联的组织是有效的并且处于良好的地位。对于不通过网站进行金融或电子商务交易的企业来说，这是一个很好的方法。

扩展验证(EV)证书

费用:每年1000美元以上

EV SSL证书代表最高级别的身份验证，最适合公司、金融实体和电子商务网站。欧宝体育百家乐涉及16个验证检查，包括合法身份和物理位置。

最终用户看到一个绿色的浏览器条，表示最高级别的验证，以及挂锁后面的其他公司信息。

如果你需要保护多个域怎么办?

一个SSL证书保护一个域名。然而，许多企业需要一个保护多个域名或子域名的解决方案。对于这些业务，SSL协议提供了两种不同的解决方案:通配符SSL证书或多域SSL证书。

通配符SSL证书

成本:不同

一些企业使用多个子域名(例如，mail.example.com, shop.example.com)在同一个网站上提供不同的功能。对于这些组织，最好的SSL解决方案通常是通配符SSL证书。通配符SSL证书保护网站的主域以及任何相关的子域，降低成本并简化管理。

多域SSL证书

成本:不同

通配符SSL证书帮助网站所有者保护单个域内的子域，而多域SSL证书(MDC)可用于一次保护多个域名。可以通过“主题替代名称”(san)将其他域添加到多域证书中，而不需要获得额外的单域SSL证书。多域SSL证书有时也称为统一通信证书(UCC)。

如何获取SSL证书

获取单域或多域SSL证书以及保护您网站上的用户数据的过程可能很复杂。以下是如何做到这一点。

1. 确定你需要的网站安全级别。DV、OV或EV SSL之间进行选择。(如果您有多个域或子域，您可能需要添加或替换通配符或MDC证书。)检查您的组织需求和预算，并选择适当的身份验证级别。
2. 确定要支持的域和子域。如果您只有一个通配符证书，则可能不需要获取通配符证书。
3. 选择证书颁发机构/提供者。对于低端需求，您可能只需要与您的虚拟主机提供商合作并获得免费的证书。多域和EV证书将涉及与证书颁发机构的付费关系。货比三家。
4. 从您选择的SSL提供商请求证书。这通常包括填写网络表格和付款。
5. 核实所有权和其他细节。CA将跟进验证您在申请中提交的信息，至少要求通过电子邮件验证域名所有权。
6. 获取并安装证书。这一步取决于您选择的CA和web平台。通常，您将下载一个包含三个密钥的ZIP文件:公钥、私钥和证书颁发机构包。如果您使用的是商业网络主机，站点的管理控制台通常包括用于证书安装的工具。如果您正在自己的硬件上工作，更接近操作系统和web服务器，那么请遵循该环境的文档。
7. 配置其他应用程序使用该证书。如果您打算支持SSL连接到服务器上的其他应用程序(例如WordPress、电子邮件等)，则需要将它们配置为使用您的证书和TLS协议。
8. 确认您的安全连接正在工作。连接到你的网站和/或其他应用程序，并确保你有一个安全的连接。单击挂锁并查看浏览器中显示的信息。
9. 提交你的网站到搜索引擎。你的新“https”网站不同于你的旧“http”网站。如果你的用户依赖搜索引擎找到你，你需要重新提交你的新https网址给这些引擎索引。