什么是SSL证书？定义及指南

SSL证书是什么，有什么作用？了解如何为你的网站获取SSL证书，并对网络流量进行加密。

互联网初期，所有网站的请求和响应都以“明文”形式传输。这意味着数据可能被窃取、偷窥，因此，传输登录凭证、信用卡号等敏感的个人信息时，用户不得不面临一些风险。

在90年代中期，网景公司（Netscape）开发了一个安全协议，用于加密网络传输中的敏感信息，这个协议被称为加密套接字协议层，也就是“SSL”。之后，又发展出传输层安全性协议，即TLS。

尽管SSL和TLS在功能和架构上有所不同，但都通过SSL证书的数字技术，为数据提供安全保护。

什么是SSL证书？

SSL证书是一种数字证书，可验证网站的身份并在网站与浏览器之间创建加密连接。SSL证书有时被称为“SSL/TLS证书”或简称“证书”。

SSL证书保护远程连接的身份，确保在线交互是私密的，确保除了发送者和接收者之外，没有人能够读取或修改通过安全连接共享的内容。SSL证书像护照一样验证网站所有者的身份，同时像钥匙一样通过强加密保持用户数据的安全。

什么是SSL证书颁发机构（CA）？

SSL证书由称为证书颁发机构的机构颁发。CA是一个受信任的第三方组织，保证网站的身份。因为他们数量有限，众所周知，且必须通过高标准的门槛，所以被信任。全球有一百多个证书颁发机构，他们被审计以被纳入为网页浏览器和操作系统供应商的受信任根。

在颁发证书之前，CA将根据行业标准核实证书请求者的信息，如站点所有权、名称、位置等。CA还会用自己的私钥对证书进行数字签名，以便客户端进行验证。为了提供此服务，大多数CA会收取一小笔年费（尽管一些网络托管和非营利组织的CA提供免费SSL证书）。

实际的SSL证书是一个小的数字文件，通常只有几千字节，安装在支持TLS的服务器上并与其他人共享。这个文件包含：

• 网站的域名
• 证书颁发的组织（证书持有者）
• 颁发证书的证书颁发机构的名称
• 证书颁发机构的数字签名
• 任何相关的子域名
• 证书的发行日期和到期日期
• 公钥（注意：不共享私钥）

每当你使用浏览器连接到以“https”开头的链接，或者在浏览器地址栏看到一个绿色的锁标志时，就意味着你拥有一个通过CA颁发的SSL证书验证的安全TLS连接。点击锁标志将显示关于SSL证书、域名所有者和连接的附加信息。

虽然这个锁标志意味着你与该网站的连接是安全的，但这并不必然意味着该网站是安全的。也就是说，仅因为你可以安全地连接到一个网站，并不意味着它不是由不法行为者控制的。

SSL证书是如何工作的？

SSL证书使用加密算法来混淆传输中的数据。这确保了浏览器和网站之间传输的任何数据都不可能被第三方读取。

通过TLS的安全通信依赖于两个证书——一个公钥和一个私钥——来创建安全连接。

当浏览器尝试连接到一个使用TLS安全的网站时，该通信是通过一个“握手”过程建立的，即来回通信仅需要几毫秒。此握手步骤包括：

1. 客户端（浏览器）连接到SSL安全的网站（服务器）。
2. 客户端要求服务器表明身份。
3. 服务器发送一份其SSL证书的副本。
4. 客户端检查SSL证书的可信度，并向服务器发出信号，如果检查通过。
5. 服务器启动一个数字签名的协议，开始SSL加密会话。
6. 加密的数据现在可以在浏览器和服务器之间自由且安全地流动。

初始的握手过程使用非对称加密，基于公钥和私钥。验证之后，客户端和服务器交换临时的私钥，仅用于本次会话。这使得加密和解密更加高效。

SSL证书的类型

要充分利用SSL，你需要选择正确的SSL证书。标准SSL证书有三种类型：

1. 域名验证（DV）证书
2. 组织验证（OV）证书
3. 扩展验证（EV）证书

不同的SSL证书服务于不同的目的，并具有不同的成本。

域名验证（DV）证书

费用：0~99美元（约700元人民币）/年

DV SSL证书涉及最小化的自动化身份验证，仅确立证书拥有者对域名或子域名的控制权。这通常通过电子邮件完成。

DV SSL证书是获得证书的最经济方式，大多数免费SSL证书都是这种类型。然而，它代表了网站安全的最低标准。DV证书适用于博客、个人网站、小企业或只需基本安全需求的任何网站。

组织验证（OV）证书

费用：100~999美元（约700~7000元人民币）/年

OV SSL证书提供对持有者身份更强的保证。要获得OV证书，购买者必须通过九项验证检查。

这是一种中级商业证书，发行CA保证与证书相关的组织是有效并且信誉良好的。这种方法适合那些不通过其网站进行财务或电子商务交易的企业。

扩展验证（EV）证书

费用：1000美元以上（约7000元人民币）/年

EV SSL证书代表最高等级的身份验证，最适合公司、金融实体和电子商务网站。涉及十六项验证检查，包括法律身份和实际位置。

最终用户会看到浏览器栏变绿，表示达到了最高验证级别，以及锁标志后面的额外公司信息。

如果需要保护多个域名怎么办？

单个SSL证书保护单个域名。然而，许多企业需要一种解决方案来保护多个域名或子域名。对于这些企业，SSL协议提供了两种不同的解决方案：通配符SSL证书或多域SSL证书。

通配符SSL证书

一些企业使用多个子域名（例如，mail.example.com，shop.example.com）来在同一网站上服务不同功能。对这些组织来说，最佳的SSL解决方案通常是通配符SSL证书。通配符SSL证书保护网站的主域名以及任何关联的子域名，降低成本并简化管理。

多域SSL证书

虽然通配符SSL证书帮助网站所有者保护单个域名中的子域名，但多域SSL证书（MDC）可以一次性保护多个域名。可以通过“主题替代名称”（SANs）添加额外的域名到多域证书中，而无需获得额外的单域SSL证书。多域SSL证书有时被称为统一通信证书（UCC）。

阅读更多：什么是网络托管？

如何获取SSL证书？

获取单域或多域SSL证书并在网站上保护用户数据的流程可能很复杂。以下是操作方法：

1. 确定网站安全需求的等级。 在DV，OV或EV SSL之间选择。如果你有多个域名或子 域名，可能需要添加或替换通配符或MDC证书。审查你的组织需求和预算，并选择适当的身份验证级别。
2. 确定需要支持的域名和子域名。 如果你只有一个，可能不需要获得通配符证书。
3. 选择证书颁发机构/供应商。 对于较低端需求，你可能只需与你的网络托管提供商合作并获得免费证书。多域和EV证书将涉及与证书颁发机构的付费关系。多比较几家。
4. 从所选的SSL提供商处请求证书。 这通常涉及填写网上表格和支付费用。
5. 验证所有权和其他详细信息。 CA将跟进验证你在申请中提交的信息，至少需要电子邮件验证域名所有权。
6. 获取并安装证书。 这一步骤取决于你选择的CA和你的网络平台。通常，你将下载一个包含三个密钥的ZIP文件：公钥、私钥和证书颁发机构捆绑包。如果你与商业网络主机合作，你的站点的管理控制台通常会包含证书安装的工具。如果你在自己的硬件上工作，更接近操作系统和网络服务器，则遵循该环境的文档。
7. 配置其他应用程序使用证书。 如果你打算支持服务器上其他应用程序的SSL连接（例如WordPress、电子邮件等），你将需要配置它们使用你的证书和TLS协议。
8. 确认你的安全连接是否正常工作。 连接到你的网站和/或其他应用程序并确保你拥有一个安全连接。点击锁标志并查看你的浏览器中显示的信息。
9. 将你的网站提交给搜索引擎。 你的新"https"网站不同于旧的"http"网站。如果你的用户依赖搜索引擎来找到你，你需要将你的新https网址重新提交给这些引擎进行索引。