在互联网的早期,所有的网站请求和响应都以“纯文本”的形式传输。这意味着它们有可能被数字窃听者看到,这使得传输登录凭据、信用卡号和其他敏感的个人信息变得危险。
在90年代中期,网景公司开发了一种安全协议,用于对传送和传输网络内容的机密信息进行加密。这个协议被称为SSL(安全套接字层),后来演变成另一个称为TLS(传输层安全)的协议。
虽然SSL和TSL在功能和体系结构方面有所不同,但它们都通过使用称为SSL证书的数字技术来提供安全性。
什么是SSL证书?
SSL证书是一种数字证书,用于验证网站的身份,并在网站和浏览器之间建立加密连接。SSL证书有时被称为“SSL/TLS证书”或简称为“证书”。
SSL证书保护远程连接的身份,并使在线交互私密性,确保除了发送方和接收方之外,没有人可以读取或修改通过安全连接共享的内容。SSL证书就像护照一样,可以验证网站所有者的身份,也像钥匙一样,通过强大的加密保护用户数据的安全。
什么是SSL证书颁发机构(CA)?
SSL证书由称为证书颁发机构的组织颁发。CA是一个受信任的第三方组织,可以保证网站的身份。他们之所以值得信任,是因为他们数量少,知名度高,而且必须清除很高的进入门槛。全世界只有100多个证书颁发机构,它们被web浏览器和操作系统的供应商审核为受信任的根。
在颁发证书之前,CA根据已建立的行业标准验证证书请求者的信息,如站点所有权、名称、位置等。CA还使用自己的私钥对证书进行数字签名,使客户端能够对其进行验证。对于提供此服务,大多数ca收取少量年费(尽管有些ca提供免费SSL证书)网络主机和非营利ca)。
实际的SSL证书是一个小的数字文件,通常只有几千字节,安装在支持TLS的服务器上并与其他服务器共享。该文件包含:
- 颁发证书的站点的域名
- 颁发证书的组织(证书持有者)
- 颁发证书的机构的名称
- 证书颁发机构的数字签名
- 任何关联的子域
- 证书的签发日期和截止日期
- 公钥(注意:私钥不共享)
每当您使用浏览器连接到以“https”开头的URL时,或者在浏览器地址栏中看到绿色挂锁图标时,您就知道您有一个由CA颁发的SSL证书验证的安全TLS连接。单击挂锁图标将显示有关SSL证书,域所有者和连接的其他信息。
虽然这个挂锁意味着您与该网站的连接是安全的,但并不一定意味着该网站可以安全使用。也就是说,仅仅因为您可以安全地连接到一个站点并不意味着它不受恶意行为者的控制。
SSL证书是如何工作的?
SSL证书使用加密算法对传输中的数据进行加密。这确保了浏览器和网站之间传输的任何数据都不可能被第三方读取。
TLS上的安全通信依赖于两个证书(一个是公共的,一个是私有的)来创建安全连接。
当浏览器试图连接到使用TLS保护的网站时,这种通信是通过“握手”建立的,或者来回通信只需要几毫秒。握手的步骤如下:
- 客户端(浏览器)连接到ssl安全的网站(服务器)。
- 客户机要求服务器标识自己。
- 服务器发送它的SSL证书的副本。
- 客户端检查SSL证书的可信度,如果通过,则向服务器发送信号。
- 服务器发起一个数字签名的协议来启动一个ssl加密会话。OB欧宝娱乐APP
- 加密的数据现在在浏览器和服务器之间自由安全地流动。
初始握手使用基于公钥和私钥的非对称加密进行。验证之后,客户端和服务器交换仅用于会话的临时私钥。这允许更有效的加密和解密。
SSL证书的类型
为了充分利用SSL,您需要选择正确的SSL证书。标准SSL证书有三种类型:
- DV (Domain validated)证书
- 组织验证(OV)证书
- 扩展验证(EV)证书
不同的SSL证书用于不同的目的,并且具有不同的成本。
域验证(DV)证书
成本:每年0 - 99美元
DV SSL证书涉及最小的自动身份验证,仅确定所有者对域或子域具有控制权。这通常是通过电子邮件完成的。
DV SSL证书是获得证书最便宜的方式,大多数免费的SSL证书都是这种类型的。然而,它代表了网站安全的最低标准。DV证书对于博客、个人网站、小型企业或任何具有最基本安全需求的网站都很有用。
组织验证(OV)证书
成本:每年100 - 999美元
OV SSL证书为持有者的身份提供了更强的保证。为了获得OV证书,购买者必须通过九项验证检查。
这是一个中级业务证书,颁发证书的CA保证与该证书相关联的组织有效且信誉良好。对于不通过网站进行金融或电子商务交易的企业来说,这是一个很好的方法。
扩展验证(EV)证书
成本:每年1000美元以上
EV SSL证书代表最高级别的身份验证,最适合公司、金融实体和电子商务网站。欧宝体育百家乐涉及16个验证检查,包括法律身份和物理位置。
最终用户看到一个绿色的浏览器栏,表示最高级别的验证,以及挂锁后面的其他公司信息。
如果您需要保护多个域名该怎么办?
一个SSL证书保护一个域名。然而,许多企业需要保护多个域名或子域名的解决方案。对于这些业务,SSL协议提供了两种不同的解决方案:通配符SSL证书或多域SSL证书。
通配符SSL证书
成本:不同
一些企业使用多个子域名(例如,mail.example.com, shop.example.com)在同一个网站上提供不同的功能。对于这些组织,最好的SSL解决方案通常是通配符SSL证书。通配符SSL证书保护网站的主域以及任何相关的子域,从而降低成本并简化管理。
多域SSL证书
成本:不同
虽然通配符SSL证书可以帮助网站所有者保护单个域中的子域,但多域SSL证书(MDC)可以用于一次保护多个域名。可以通过“主题替代名称”(san)将其他域添加到多域证书中,而无需获取额外的单域SSL证书。多域SSL证书有时被称为统一通信证书(UCC)。
如何获得SSL证书
获取单域或多域SSL证书并保护您网站上的用户数据的过程可能很复杂。下面是如何做到这一点。
- 确定您需要的网站安全级别。在DV、OV或EV SSL之间进行选择。(如果您有多个域或子域,您可能需要添加或替换通配符或MDC证书。)检查您的组织需求和预算,并选择适当的身份验证级别。
- 确定要支持的域和子域。如果只有一个,则可能不需要获取通配符证书。
- 选择证书颁发机构/提供者。对于低端需求,您可能只需要与您的网络托管提供商合作并获得免费证书。多域和EV证书将涉及与证书颁发机构的付费关系。货比三家。
- 从您选择的SSL提供程序请求证书。这通常包括填写网络表格和付款。
- 验证所有权和其他细节。CA将跟踪验证您在应用程序中提交的信息,至少需要通过电子邮件验证域所有权。
- 获取并安装证书这一步取决于您选择的CA和您的web平台。通常,您将下载一个包含三个密钥的ZIP文件:公钥、私钥和证书颁发机构包。如果您使用的是商业网络主机,那么站点的管理控制台通常会包含用于证书安装的工具。如果您使用的是自己的硬件,更接近操作系统和web服务器,那么请遵循该环境的文档。
- 配置其他应用程序使用该证书。如果你打算支持SSL连接到服务器上的其他应用程序(例如,WordPress,电子邮件等),你需要配置它们使用你的证书和TLS协议。
- 确认您的安全连接正在工作。连接到你的网站和/或其他应用程序,并确保你有一个安全的连接。点击挂锁,查看浏览器中显示的信息。
- 把你的网站提交给搜索引擎。新的“https”网站与旧的“http”网站截然不同。如果你的用户依赖搜索引擎找到你,你需要重新提交新的https网址给那些引擎索引。
SSL证书常见问题
需要SSL证书吗?
如何获得SSL证书?
- 确定所需的安全级别。
- 确定要支持的域和子域。
- 选择证书颁发机构/提供者。
- 从所选的提供者请求证书。
- 验证域所有权和其他标准。
- 获取并安装证书
SSL和TLS的区别是什么?
有哪些类型的SSL证书?
- 域验证(DV)证书
- 组织验证(OV)证书
- 扩展验证(EV)证书
- 通配符SSL证书
- 多域SSL证书(MDC)