互联网十万个为什么之什么是SSL证书?
互联网十万个为什么之什么是SSL证书?
SSL证书是一种数字化的证书,用来创建加密连接和验证网站的身份是否可信。同时,为避免钓鱼网站、假冒正规网站骗取用户信息等安全威胁,主流浏览器会对未使用HTTPS的网站增加风险提示。
SSL证书中包含了使用该证书的域名地址、证书有效期、证书公钥、证书持有人/公司/组织的信息(仅部分证书类型会展示该信息,如EV证书)等。
网站安装了SSL证书后,浏览器才会展示特殊的视觉提示(例如:网站URL开头有一个小锁标志),告知网站访问者该网站的连接是安全可靠的,同时开始保护该网站的数据传输安全。
为什么需要SSL证书?
SSL证书可以确保联网后网站信息传输的安全,防止攻击者截取或篡改用户与网站之前传输的信息,保护用户数据隐私安全,同时也增加了网站访问者对网站的安全感和信任度。
具体说来,SSL证书有以下主要作用:
- 防止窃取用户数据
- 防止用户被假冒的网站或钓鱼网站骗取个人信息、进行欺诈交易等 网站URL如果使用“https”开头,代表该网站是真实安全的、非假冒或被篡改的网站,用户与该网站的浏览会话、购物或支付等交易体验都是安全可靠的。
- 提升网站排名 主流搜索引擎会优先收录“https”开头的网站,有利于提升企业或网站在搜索结果中的曝光度。
- 提升用户访问量 浏览器对安装了SSL证书的网站会展示安全连接的提示,可提升网站的安全性和可信度,带来更多的用户访问量。
SSL证书的工作原理是什么?
SSL是一种安全协议,代表安全套接子层,主要作用就是在Web服务器和浏览器之间创建安全加密。如果有攻击者在通信传输过程中拦截SSL认证的通信信息,这些信息会因为已被SSL证书加密而难以被窃取。
安装了SSL证书的网站URL会以“https”开头,而不是未加密的“http”。
SSL证书的核心技术如下:
- 加密和解密:使用非对称加密算法。服务器保存私钥,公钥保存到证书中并公开发布。当用户访问网站时,浏览器使用公钥对传输数据进行加密,服务器使用私钥来解密数据。
- 身份验证:证书颁发机构通过验证网站的身份信息(如域名所有权和组织身份等)来签发SSL证书。当用户访问一个使用SSL证书保护的网站时,浏览器可以通过检查证书的真实性和完整性来确认网站的身份是否可信。
- 数字签名:证书颁发机构使用私钥对证书进行数字签名,用来验证证书的真实性和完整性。浏览器从服务器获取证书时,会使用证书颁发机构提供的公钥来解密数字签名,验证该签名是否与证书匹配。
以下是SSL证书工作的流程:
- 浏览器或服务器向安装了SSL证书的网站发送请求。
- 浏览器或服务器请求网站的Web服务器证明自己的身份。
- 网站的Web服务器向浏览器发送SSL证书的信息,确认证书是否可信。
- Web服务器返回确认信息(已完成数字签名),启动SSL加密浏览器和Web服务器之间的会话。
SSL证书有哪些类型?
通过前面的内容,我们已经了解了SSL证书的主要作用是什么。现在来了解一下SSL证书包含哪些不同的类型。
基于验证类型的SSL证书分类
证书基于不同的验证类型、证书中所包含的身份信息,可分为EV证书、OV证书和DV证书。其中EV证书提供最高级别的身份保证,证书中包含完整的组织信息,但也需要执行最严格的验证标准。
下表介绍了这三类证书的区别与适用的业务类型:
证书类型 | 获得证书的验证要求**(需提交的验证材料)** | 适用的网站/业务类型 |
|---|---|---|
EV证书(扩展验证) | 验证标准最严格。需验证网站域名所有者的合法性、身份和运营状态。需提交的主要验证材料如下:网站域名网站所属企业或组织的公司信息、营业执照证书使用的密钥算法部分品牌的证书还需要银行开户许可证、律师证或律师函等信息 | 主要适用于大型企业、金融机构、在线支付平台、电子商务网站等需处理大量敏感信息和金融交易、用户对安全性和信任度的要求极高的网站或在线服务 |
OV证书(组织验证) | 验证标准严格程度为中等,相比EV证书所需要的验证更少。需提交的主要验证材料如下:网站域名网站所属企业或组织的公司信息、营业执照证书使用的密钥算法 | 主要适用于企业网站、中型电商平台、教育机构、非盈利组织等、且无需展示网站所属企业或组织详细身份信息的网站或在线服务 |
DV证书(域名验证) | 验证标准严格程度最低,仅验证您拥有该网站域名。需提交的主要验证材料如下:网站域名证书使用的密钥算法 | 主要适用于个人博客、小型网站、内部系统,或不涉及敏感信息(或金融交易)、无需验证身份、且不在意用户访问量的网站或在线服务 |
基于支持域名类型的SSL证书分类
证书类型 | 支持的域名类型 |
|---|---|
单域名证书 | 单域名是指一个证书只能保护一个主域名或一个子域名或一个公网IP。 |
多域名证书 | 多域名是指一个证书同时绑定且保护多个单域名(数量有限制)。每次添加新域时,您都必须请求重新颁发的SSL证书以对其进行身份验证。 |
通配符验证 | 通配符域名是指对应一个主域名及其次级域名的所有子域名。 |
混合域名 | 混合域名证书是指包含单域名、通配符域名和公网IP的证书。 |
SSL证书加密等级类型介绍
不同的证书使用的加密算法不同,因此会具有不同的加密等级。加密等级越高,加密数据就越难被破解,安全性也就越高。
SSL证书支持的加密算法如下:
加密算法类型 | 加密等级 | 说明 |
|---|---|---|
RSA | 一般 | RSA是目前使用最普遍的加密算法,能够抵御大部分网络攻击。目前大多数RSA算法已升级到2028位密码长度,相较于1024位的算法,安全性能更好。 |
ECC | 高 | ECC基于椭圆曲线密码理论,加密强度高于RSA算法。同时加密速度更快、服务器资源消耗更低。 |
SM2 | 高 | SM2是国家密码管理局认定的ECC算法,主要应用于中国的政府和商业项目。SM2算法普遍采用256位密码长度。通常国密证书会采用SM2算法。 |
谁需要使用SSL证书?
提供在线服务或网站服务的企业、组织或个人,需要在其网站上安装SSL证书,以保护在线交易并保持用户的数据安全。
用户访问网站时,凡是可能会涉及个人信息、交易信息、敏感数据等的场景,都需要使用SSL证书。以下类型的网站和在线服务通常需要使用SSL证书:
- 登录页面:需要用户登录
- 电子商务网站:会涉及支付交易、客户隐私信息(如个人银行账号、密码等信息)等
- 表单提交:需要用户提交个人信息
- 医疗保健服务:涉及医疗记录等个人隐私信息
- 金融服务:银行、投资平台、保险服务等金融服务网站会涉及大量财务交易和个人财务数据
- 政府网站:涉及个人隐私信息
- API服务:所调用接口可能涉及敏感数据
安装SSL证书后,您可以在网站地址栏的URL旁看到一个绿色小锁的图标,该图标表示SSL证书在保护您正在访问的网站。
如何使用SSL证书?
使用SSL证书前必须先购买SSL证书。不同服务商提供的具体服务(如续费、安装支持、更新配置等)会有差异,请以具体服务商的官网页面为准。
以下是如何使用SSL证书的通用流程,不同服务商提供的证书服务可能具体使用方式和流程会有差异:
- 购买SSL证书。 目前市场上有不少服务商(如云服务提供商、专门的证书代理商)可提供SSL证书购买或托管的服务,您可以通过搜索引擎寻找合适的服务商。选择服务商时,是否提供证书托管服务、自动续费和更新证书以延长有效期、证书签发时长、是否支持简便应用到相关云产品(如负载均衡、CDN等)、是否提供免费证书,都是建议的考虑因素。 如果您使用SSL证书仅处于个人博客或测试的需要,您可以使用服务商提供的免费证书。不建议使用自签名的证书,因为自签名证书不受浏览器信任,且由于需要手动添加外来的信任中心会存在潜在的安全风险。
- 申请签发证书。 证书购买后,必须向CA中心提交证书并通过证书持有人身份信息的审核,CA中心才会为您签发证书。证书签发后才可部署到服务器上,为网站实现HTTPS通信。 您可通过您购买证书的的官网或售后,了解如何申请签发证书以及签发流程时长等问题。
- 安装SSL证书。 证书签发后,您可以安装证书了。证书只有安装到网站的服务器上之后,才会支持加密通信和HTTPS访问。 安装证书的主要原理是在您网站/在线业务所部署的服务器上通过修改SSL模块的配置文件,来指定证书要保护的域名、证书私钥的存放位置以及启用HTTPS协议。
- 到期前及时续费。 SSL证书都具有有效期,不同的厂商支持提供的证书有效期有所不同。证书过期后,网站将不再收到SSL证书的保护和展示安全连接的提示,因此您必须在证书过期前及时续费并更新证书,延长证书的服务时间。 有些服务商会提供证书到期自动续费、重新签发证书的服务。这类服务比较方便,且可以有效避免因人为疏忽导致证书过期的问题,影响您的业务。您可向服务商咨询具体支持的服务。
如果证书已部署成功(网站可通过https协议访问且出现绿色安全锁标志),但访问网站时浏览器提示安全警告或提醒,可能存在以下情况:
- 部署了SSL证书的网站有页面中包含了http链接或脚本。需要联系网站管理人员将http链接改成https链接。
- 部署证书的服务器上开启的TLS协议版本过低。
- 部署证书链不完整,如缺少中间证书。
腾讯云开发者
