在万维网的早期,所有的网站请求和响应都是以“纯文本”的形式传输的。这使得他们有可能被数字窃听者看到,这使得传输密码、信用卡号码和其他敏感和个人信息变得有风险。
在90年代中期,为了实现电子商务和支持机密信息的网络传输,网景开发了一种用于web内容传递和连接认证的加密协议,称为SSL(安全套接字层),后来发展成另一种称为TLS(传输层安全)的协议。
虽然这两种协议在核心算法、安全性和它们支持的端口方面有所不同,但它们的功能基本上是相同的——通过使用一种称为SSL证书的数字技术。
什么是SSL (Secure Sockets Layer)证书?
SSL证书是一种数字证书,用于验证网站的身份,并实现网站与浏览器之间的加密连接。它有时被称为“SSL/TLS证书”或简单地称为“证书”。
支持TLS连接的SSL证书保证(a)远程连接的身份,以及(b)除了发送方和接收方之外,没有人可以读取或修改通过安全连接共享的内容。SSL证书既像护照一样验证需要支持SSL的站点所有者的身份,又像密钥一样支持强加密。
SSL证书由称为证书颁发机构(ca)的组织颁发。CA是一个受信任的组织,可以保证网站的身份。他们之所以受到信任,是因为他们人数少,知名度高,而且必须清除很高的进入壁垒。全球只有100多个证书颁发机构,它们被网络浏览器和操作系统供应商审计为受信任的根证书。在颁发证书之前,CA根据已建立的行业标准验证证书请求者的信息,如站点所有权、名称、位置等。CA还使用自己的私钥对证书进行数字签名,使客户端能够对其进行验证。为了提供这项服务,大多数ca收取少量的年费(尽管有些ca提供免费的SSL证书)网络主机以及非营利ca)。
实际的SSL证书是一个小的数字文件,通常只有几千字节,安装在支持TLS的服务器上并与他人共享。该文件包含:
- 颁发证书的站点的域名
- 颁发证书的机构(证书持有人)
- 颁发CA的名称
- CA的数字签名
- 任何相关子域
- 证书颁发日期和过期日期
- 公钥(注意:私钥不共享)
当您使用浏览器连接到以“https”开头的URL时,或者在浏览器地址栏中看到小挂锁时,您就知道您有一个由CA颁发的SSL证书验证的安全TLS连接。虽然这意味着连接到该网站是安全的,但并不一定意味着该网站的内容可以安全使用!仅仅因为你可以安全地连接到一个网站,并不意味着它不受不法分子的控制。如果单击挂锁,浏览器将显示有关证书、域所有者和连接的其他信息。
SSL证书是如何工作的?
SSL证书使用加密算法对传输中的数据进行加密。这确保了在浏览器和网站之间传输的任何数据都不可能被第三方读取。
TLS上的安全通信依赖于两个证书(一个是公共证书,一个是私有证书)来创建安全连接。
当浏览器试图连接到一个使用TLS保护的网站时,这种通信是通过“握手”建立的,或者只需要几毫秒的来回通信。握手的步骤如下:
- 客户端(浏览器)连接到ssl安全的网站(服务器)。
- 客户机要求服务器标识自己。
- 服务器发送其SSL证书的副本。
- 客户端检查SSL证书的可信度,如果通过则向服务器发送信号。
- 服务器启动一个数字签署的协议,以启动ssl加密的会话。OB欧宝娱乐APP
- 加密数据现在可以在浏览器和服务器之间自由安全地流动。
初次握手使用基于公钥和私钥的非对称加密。验证后,客户端和服务器交换临时私钥,仅用于会话。这允许更有效的加密和解密。
SSL证书类型
- DV (Domain Validated)证书
- OV (Organization Validated)证书
- 扩展验证(EV)证书
DV (Domain Validated)证书
费用:每年0- 99美元
DV证书只涉及最小的自动身份验证,只确定所有者对域或子域具有控制权。这通常是通过电子邮件完成的。
DV证书是获得证书最便宜的方法,大多数免费证书都是这种类型。但是,它代表了最低的安全标准。DV证书适用于博客、个人网站、小型企业或任何具有最基本安全需求的网站。
OV (Organization Validated)证书
费用:每年100- 999美元
OV证书更能保证持证人的身份。为了获得OV证书,买方必须通过九项验证检查。
这是一个中级业务证书,颁发证书的CA保证与该证书关联的组织是有效的并且处于良好的地位。对于不通过网站进行金融或电子商务交易的企业来说,这是一个很好的方法。
扩展验证(EV)证书
费用:每年1000美元以上
EV证书代表最高级别的身份验证,最适用于企业、金融实体和电子商务网站。涉及16个验证检查,包括合法身份和物理位置。
最终用户看到一个绿色的浏览器条,表示最高级别的验证,以及挂锁后面的其他公司信息。
如果你需要保护多个域怎么办?
标准SSL证书保护单个域名。许多组织希望在同一个证书上保护多个子域(例如,mail.example.com, shop.example.com),从而降低成本并简化管理。
这可以使用通配符SSL证书来完成,该证书保护主域和多个“主题替代名称”(san,表示子域)。san也可以添加支持多个域;这就是所谓的多域证书。
如何获取SSL证书
确定所需的安全级别。
DV, OV, EV。检查您的组织需求和预算,选择合适的身份验证级别。
确定要支持的域和子域。
如果您只有一个通配符证书,则可能不需要获取通配符证书。
选择证书颁发机构/提供者。
对于低端需求,您可能只需要与您的虚拟主机提供商合作并获得免费的证书。多域和EV证书将涉及与证书颁发机构的付费关系。货比三家。
从所选提供者请求证书。
这通常包括填写网络表格和付款。
验证域所有权和其他标准。
CA将跟进验证您在申请中提交的信息,至少要求通过电子邮件验证域名所有权。
获取并安装证书。
这在很大程度上取决于您选择的CA和web平台。通常,您将下载一个包含三个密钥的ZIP文件:公钥、私钥和证书颁发机构包。如果您使用的是商业网络主机,站点的管理控制台通常包括用于证书安装的工具。
如果您正在自己的硬件上工作,更接近操作系统和web服务器,那么请遵循该环境的文档。
配置其他应用程序使用该证书。
如果您打算支持SSL连接到服务器上的其他应用程序(例如WordPress,电子邮件等),那么您将需要配置它们以使用您的证书和TLS协议。
确认您的安全连接正在工作。
连接到你的网站和/或其他应用程序,并确保你有一个安全的连接。单击挂锁并查看浏览器中显示的信息。
提交你的网站到搜索引擎。
你的新“https”网站不同于你的旧“http”网站。如果您的用户依赖搜索引擎来找到您,您将需要重新提交新的https url到这些引擎进行索引。
SSL证书常见问题解答
什么是SSL证书,它是如何工作的?
SSL (secure sockets layer)证书用于验证网站的身份,并在网站和浏览器之间提供加密连接。SSL证书是小型数字文件,包含网站域名、注册地点、注册对象、注册时间以及任何相关子域名的信息。
SSL证书的用途是什么?
SSL证书可以保证远程连接的身份,并且任何人都不能读取或修改通过发送方和接收方之间的安全连接共享的内容。这对于确保信用卡号码等敏感信息的隐私至关重要。
是否需要SSL证书?
SSL证书对于任何要求用户输入个人信息的网站都是必要的,但即使一个网站不要求输入任何信息,SSL证书仍然是强烈推荐的。这是因为网络浏览器通常会警告用户不安全的网站,导致在没有SSL的情况下潜在流量的巨大损失。
最重要的是,不安全的网站在搜索引擎结果中的优先级会降低,这使得在没有SSL的情况下很难为您的网站带来流量。
如何获取SSL证书?
- 确定所需的安全级别。
- 确定要支持的域和子域。
- 选择证书颁发机构/提供者。
- 从所选提供者请求证书。
- 验证域所有权和其他标准。
- 获取并安装证书。
SSL和TLS的区别是什么?
传输层安全(TLS)是SSL的继承者。尽管TLS提供了一些优于SSL的改进,但这两个术语通常可以互换使用。这两种协议的工作方式相同,使用加密来确保发送方和接收方之间的数据传输安全。
SSL证书有哪些类型?
- DV (Domain Validated)证书
- OV (Organization Validated)证书
- 扩展验证(EV)证书