SSL证书是什么?
SSL证书是带有分配给网站的加密密钥对的数字文档。证书中包含的公钥和私钥验证并保护Web服务器(您的网站)和浏览器(传入的用户请求)之间的连接。
普通用户将SSL证书视为添加到许多网站(包括百度)的http://URL地址中的s。将SSL证书添加到http时,它将在URL前面读取:https://,如下所示。
SSL证书是什么?
当网站使用标准HTTP连接时,浏览器和服务器之间的所有数据交换都可能被劫持,从而允许黑客访问个人数据,例如您的登录名、密码或付款详情。S代表安全连接,这意味着该网站使用加密来保护敏感数据交换。即使欺诈者干预了您的交易,他们得到的也只是一串随机的加密字符。
以下是SSL身份验证在实践中的工作原理。假设您想在线订购披萨。为确保安全交易:
- 电子商务商家必须验证您的身份(即验证传入的付款请求来自真正的浏览器)
- 在线购物者必须验证Web界面的合法性(即,您要付款的人是合法的披萨卖家)
SSL证书通过使用加密算法在几毫秒内确认Web服务器的身份来帮助建立信任。如果该网站的私钥与结帐页面上的公钥相匹配,则一切正常,您可以继续结帐。
这种验证机制可防止常见的网络安全攻击,例如域名欺骗、DNS劫持和其他路径攻击。
SSL协议简史
第一批电子商务网站出现于80年代后期,并在1990年代成倍增长。但是在网络上交换金钱(和其他敏感信息)就像在狂野的西部一样——你永远不知道自己是否会在途中遭到伏击。
TaherElgamal博士当时是NetscapeCommunications的一名密码学家,他决定为Web领域名带来秩序,并提出了安全套接字层(SSL)互联网协议v1.0。但是SSL1.0从未上架。因此,SSL的公开历史始于1995年2月发布的2.0版。
一年之内,SSL2.0。成为网络安全的核心协议,并为HTTPS连接提供了先机。然而,Netscape努力使SSL完全安全。SSL2.0(以及后来的SSL3.0)仍然包含严重漏洞。该协议于2011年被正式禁止,其继任者主导了在线安全。
1999年,互联网工程任务组(IETF)发布了SSL3.0的升级版本,名称为传输层安全(TLS)。
为什么要进行如此剧烈的更名?在幕后,Netscape和Microsoft竞争谁的SSL更新版本更好。IETF最终介入并接管了协议开发和标准化工作。作为交易的一部分,Microsoft坚持将名称从SSL更改为TLS——这就是SSL和TLS证书之间的混淆开始的原因。
SSL是一种遗留的网络通信协议,已被弃用并被TLS取代——一种具有相同机制但更好的安全控制的较新协议版本。
今天,SSL证书使用TLS1.3,它在2018年8月的RFC8446提案中定义。
SSL证书如何工作?
SSL/TLS通信协议在数据交换过程中使用密码加密将明文数据转换为随机数的编码字符串。
反过来,SSL证书通过交叉验证公钥和私钥来帮助解密传输的信息——姓名、地址详细信息、信用卡号。
以下是SSL证书在浏览器中的工作方式:
Web浏览器或服务器尝试识别传入的连接请求
为此,Web浏览器会发送其SSL证书的副本
服务器验证数字证书的有效性
然后浏览器获得启动SSL加密会话的权限。
随后所有的数据交换都将被加密。这些数据交换称为SSL握手。
挂锁图标作为视觉信任信号出现在URL地址栏中。要了解有关网站安全状态的更多信息,用户可以单击它。
例如,GoogleChrome提供了有关SSL证书有效性、颁发者、数字签名、相关子域名和到期日期等详细信息。
谁颁发SSL证书?
SSL证书来自证书颁发机构(CA)—受信任的专门组织来验证请求证书的实体的合法性。
根据W3Tech的说法,最受欢迎的SSL证书颁发机构是:
Sectigo,44.4%的网站使用
DigiCert,16.6%的网站使用
GlobalSign,13.7%的网站使用
GeoTrust,6.4%的网站使用
Entrust,5.4%的网站使用
申请SSL证书
更容易符合认证条件及支持,从Gworg获得SSL证书。
您需要向Gworg提供有关您公司的某些信息并完成几个技术步骤:
在您的服务器上生成证书签名请求(CSR)
将您的CSR提交给证书颁发机构以验证您的域名
在您的网站上安装证书
一些域名注册商和网络托管公司会自动处理SSL注册过程。
不同类型的SSL证书
SSL证书具有相同的加密级别,但验证级别和涵盖的域名数量不同。证书颁发机构使用三个标准验证级别来验证网站背后的个人或组织的身份:
- 域名验证证书(DVSSL)
- 组织验证证书(OVSSL)
- 扩展验证证书(EVSSL)
另外,SSL证书因您希望涵盖的域名数量而异。额外类型的SSL证书包括:
- 通配符SSL证书
- 多域名SSL证书
- 统一通信证书
域名验证证书(DVSSL)
DVSSL证书具有最简单的验证要求。您只需向CA确认域名所有权,然后在几秒钟内获得颁发的证书。
优点
快速、在线、近乎即时的发行
应用简单,成本低
缺点
不向用户提供有关您业务的实际信息
最适合:博客、个人网站、投资组合网站和小型企业。
组织验证证书
组织验证(OV)SSL证书需要额外的公司审查。您必须向CA提交基本的公司信息,然后等待背景调查完成。通过单击挂锁图标,您可以了解有关网站所有者的更多信息——他们的位置、品牌名称和其他详细信息。
优点
- 额外的客户信任信号
- 成本适中
缺点
- 更长的发行时间
最适合:电子商务商店、SaaS 公司和其他处理敏感客户数据的企业。
扩展验证证书
扩展验证证书 (EV SSL) 是您可以获得的最高验证级别。要获得批准,您必须提交公司合法存在、实际位置、所有权结构和其他花絮的证明。
在这种情况下,您将受益于地址栏中更多的信任指示符(例如完整的公司名称)和挂锁图标栏。
优点
- 您可以获得的最佳合法性保证
缺点
- 更高的成本
- 更长的申请流程
- 最适合:金融服务提供商、大型电子商务商店和企业规模的企业。
通配符SSL证书
通配符SSL证书涵盖一个域名加上无限数量的子域名(当前和未来的子域名)。换句话说,您将获得HTTPS和显示的挂锁:
您可以获得域名验证(DV)和组织验证(OV)验证级别的通配符证书,但不能获得扩展验证证书(EV)。
多域名SSL证书
多域名SSL证书涵盖多达100个不同的域名(包括未来域名的任何通配符DNS记录)。如果您经营多个网站并且不想为单独的SSL续订而烦恼(或花额外的钱来保护单个域名),则此选项最有效。多域名SSL证书可用于所有级别的验证(DV、OV、EV)。
统一通信证书(UCC)
UCC证书还涵盖多达100个域名和子域名。但它们特定于Microsoft Exchange和OfficeCommunications环境。为了保护它们,UCC使用主题备用名称(SAN)扩展而不是不同的IP地址。UCC证书可用于OV和DV验证级别。
SSL证书的好处
首先,SSL证书是一种安全机制。它们保护传输中的数据不被黑客或其他窥探的第三方拦截。
对于网站访问者,HTTPS连接和挂锁图标可确保更安全的浏览体验。90%的消费者拒绝从没有充分保护其数据的公司购买产品。有了SSL,消费者可以更加放心,因为他们的交易是安全的。
谷歌还推动公司使用SSL证书。从Chrome版本70开始,用户会看到HTTPS安全性较低(例如,过期的证书)的网站的安全启动画面。
2014年,谷歌也开始使用HTTPS连接作为网站排名信号。当与其他WebflowSEO最佳实践结合使用时,SSL的使用可以提升搜索流量。
始终牢记安全性
使用SSL证书,您和您的用户可以放心,连接和数据在您的站点上是私有的。但这只是起点,维护网站安全不仅仅是拥有SSL证书。
