什么是SSL证书:定义和解释

在万维网的早期，所有的网站请求和响应都以“纯文本”的形式传输。这使得它们有可能被数字窃听者看到，这使得传输密码、信用卡号和其他敏感的个人信息变得危险。

在90年代中期，为了实现电子商务和支持机密信息的网络传输，网景公司开发了一种用于网络内容传递和连接认证的加密协议，称为SSL(安全套接字层)，后来演变成另一种称为TLS(传输层安全)的协议。

虽然这两种协议在核心算法、安全性和它们支持的端口方面有所不同，但它们的功能通常是相同的——通过使用称为SSL证书的数字技术。

什么是安全套接字层(SSL)证书?

SSL证书是一种数字证书，用于验证网站的身份，实现网站与浏览器之间的加密连接。它有时被称为“SSL/TLS证书”或简称为“证书”。

支持TLS连接的SSL证书保证(a)远程连接的身份，以及(b)除了发送方和接收方之外，没有人可以读取或修改通过安全连接共享的内容。SSL证书既像护照一样用于验证需要支持SSL的站点所有者的身份，又像密钥一样用于支持强加密。

SSL证书由称为证书颁发机构(ca)的组织颁发。CA是一个受信任的组织，可以保证网站的身份。他们之所以值得信任，是因为他们数量少，知名度高，而且必须清除很高的进入门槛。全世界只有100多个证书颁发机构，它们被web浏览器和操作系统的供应商审核为受信任的根。在颁发证书之前，CA根据已建立的行业标准验证证书请求者的信息，如站点所有权、名称、位置等。CA还使用自己的私钥对证书进行数字签名，使客户端能够对其进行验证。对于提供此服务，大多数ca收取少量年费(尽管有些ca提供免费SSL证书)网络主机和非营利ca)。

实际的SSL证书是一个小的数字文件，通常只有几千字节，安装在支持TLS的服务器上并与其他服务器共享。该文件包含:

• 颁发证书的站点的域名
• 颁发证书的组织(证书持有者)
• 颁发CA的名称
• CA的数字签名
• 任何关联的子域
• 证书的签发日期和截止日期
• 公钥(注意:私钥不共享)

每当你使用浏览器连接到以“https”开头的URL，或者看到浏览器地址栏中的小挂锁，你就知道你有一个由CA颁发的SSL证书验证的安全TLS连接。虽然这意味着连接到网站是安全的，但并不一定意味着网站内容可以安全使用!仅仅因为您可以安全地连接到一个站点并不意味着它不受恶意行为者的控制。如果单击挂锁，浏览器将显示有关证书、域所有者和连接的其他信息。

SSL证书是如何工作的?

SSL证书使用加密算法对传输中的数据进行加密。这确保了浏览器和网站之间传输的任何数据都不可能被第三方读取。

TLS上的安全通信依赖于两个证书(一个是公共的，一个是私有的)来创建安全连接。

当浏览器试图连接到使用TLS保护的网站时，这种通信是通过“握手”建立的，或者来回通信只需要几毫秒。握手的步骤如下:

1. 客户端(浏览器)连接到ssl安全的网站(服务器)。
2. 客户机要求服务器标识自己。
3. 服务器发送它的SSL证书的副本。
4. 客户端检查SSL证书的可信度，如果通过，则向服务器发送信号。
5. 服务器发起一个数字签名的协议来启动一个ssl加密会话。OB欧宝娱乐APP
6. 加密的数据现在在浏览器和服务器之间自由安全地流动。

初始握手使用基于公钥和私钥的非对称加密进行。验证之后，客户端和服务器交换仅用于会话的临时私钥。这允许更有效的加密和解密。

SSL证书的类型

1. DV (Domain Validated)证书
2. 组织验证(OV)证书
3. 扩展验证(EV)证书

DV (Domain Validated)证书

成本:每年0- 99美元

DV证书只涉及最小的自动身份验证，只确定所有者对域或子域具有控制权。这通常是通过电子邮件完成的。

DV证书是获得证书最便宜的方式，大多数免费证书都是这种类型的。然而，它代表了最低的安全标准。DV证书对博客、个人网站、小企业或任何有最基本安全需求的网站都很有用。

组织验证(OV)证书

成本:每年100- 999美元

OV证书为持票人的身份提供更有力的保证。为了获得OV证书，购买者必须通过九项验证检查。

这是一个中级业务证书，颁发证书的CA保证与该证书相关联的组织有效且信誉良好。对于不通过网站进行金融或电子商务交易的企业来说，这是一个很好的方法。

扩展验证(EV)证书

成本:每年1000美元以上

EV证书代表最高级别的身份验证，最适合公司、金融实体和电子商务网站。涉及16个验证检查，包括法律身份和物理位置。

最终用户看到一个绿色的浏览器栏，表示最高级别的验证，以及挂锁后面的其他公司信息。

如果您需要保护多个域名该怎么办?

标准SSL证书保护单个域名。许多组织希望保护同一证书上的多个子域(例如，mail.example.com, shop.example.com)，以降低成本并简化管理。

这可以使用通配符SSL证书来完成，该证书保护主域和多个“主题备选名称”(san，表示子域)。还可以添加支持多个域的san;这被称为多域证书。

如何获得SSL证书

1. 确定所需的安全级别。

DV, OV，或者EV。回顾您的组织需求和预算，并选择适当的身份验证级别。

2. 确定要支持的域和子域。

如果只有一个，则可能不需要获取通配符证书。

3. 选择证书颁发机构/提供者。

对于低端需求，您可能只需要与您的网络托管提供商合作并获得免费证书。多域和EV证书将涉及与证书颁发机构的付费关系。货比三家。

4. 从所选的提供者请求证书。

这通常包括填写网络表格和付款。

5. 验证域所有权和其他标准。

CA将跟踪验证您在应用程序中提交的信息，至少需要通过电子邮件验证域所有权。

6. 获取并安装证书

这在很大程度上取决于您选择的CA和您的web平台。通常，您将下载一个包含三个密钥的ZIP文件:公钥、私钥和证书颁发机构包。如果您使用的是商业网络主机，那么站点的管理控制台通常会包含用于证书安装的工具。

如果您使用的是自己的硬件，更接近操作系统和web服务器，那么请遵循该环境的文档。

7. 配置其他应用程序使用该证书。

如果你打算支持SSL连接到服务器上的其他应用程序(例如，WordPress，电子邮件等)，那么你需要配置它们来使用你的证书和TLS协议。

8. 确认您的安全连接正在工作。

连接到你的网站和/或其他应用程序，并确保你有一个安全的连接。点击挂锁，查看浏览器中显示的信息。

9. 把你的网站提交给搜索引擎。

新的“https”站点与旧的“http”站点不同。如果您的用户依赖搜索引擎找到您，您将需要重新提交新的https url给这些引擎进行索引。