加密HTTPS 让你快速了解什么是SSL证书

SSL代表安全套接字层，是一种全球标准安全协议，可在 Web 浏览器和服务器之间的 Internet 通信中提供身份验证、隐私和完整性。它由 Netscape 于 1995 年开发，是一种基于加密的协议，并已演变为当今使用的现代 TLS（传输层安全）。加密是一种使用算法对只能由某些人访问的消息或文件进行编码的过程。

安全网站使用“HTTPS”，这意味着它们已经实施了 SSL/TLS，而不安全网站使用“HTTP”。如果您正在与在其 URL 中显示“HTTPS”的 Web 服务器进行交互，这意味着您发送的任何信息都是加密且安全的，并且只能由预期方访问。

SSL证书

SSL 证书就像是安装在网站源服务器上的数字徽章或证书，由证书颁发机构颁发。SSL 证书使网站能够保护 URL 中的“HTTPS”标签而不是“HTTP”。SSL 证书使数据加密成为可能，它们包含网站的身份、公钥和其他相关信息。尝试从源服务器与所属网站交互的设备将在验证服务器的身份之前交叉检查此文件以获取公钥。私钥受到保护并保密。在密码学中，公钥是由指定机构提供的用于加密数据的大数值。

SSL证书中包含的信息：

域名：证书颁发给的域名，如果您不知道，域名是连接到数字 IP 地址的文本和数字字符串。它用于访问网站。用户在浏览器搜索栏中键入以访问特定网站的文本字符串。

证书颁发给的个人、组织或设备。

颁发证书的证书颁发机构。

证书颁发机构的数字签名。

与所属于关联的子域。

颁发证书的日期。

证书的到期日期也在这里。

公钥（私钥是秘密的）。

SSL/TLS 如何工作？

SSL 和 TLS 的工作原理是对通过网络发送的数据进行加密，以提供高度的隐私和安全性。这意味着任何拦截此传输的尝试只会收到几乎不可能解密的令人困惑的字符组合。身份验证过程通常称为两个交互设备之间的“握手”，由 SSL/TSL 启动，以验证两个设备的身份。SSL 还会检查数据以证明数据完整性，验证传输内容未被篡改。多年来，出现了更多 SSL 更新，最后一次是它的交换机 TSL，它于 1999 年更新。

在 TLS“握手”中，用户的设备和 Web 服务器执行一些操作：

它们指定将使用的 TLS 版本（TLS 1.0、1.2、1.3 等）。

他们将就将使用哪些密码套件达成一致。密码套件是一组算法，用于设置通过 TLS 保护网络的一般规则。

他们将使用 TLS 验证服务器的身份。

他们将在握手完成后生成用于加密消息的公共和私人会话密钥。

为每个通信会话创建一个密码套件。其中包含将在每个会话中使用的详细信息，例如加密密钥或会话密钥。

握手还使用公钥处理服务器身份验证。数据已经过加密和验证；它使用 MAC（消息验证码）签名。用户设备验证此 MAC 以检查数据是否已被泄露。这类似于药瓶盖上的密封。如果密封被破坏，您就会知道瓶子已被篡改。

SSL 证书的类型

1.单域SSL证书

单域 SSL 证书仅适用于一个域和一个域。它不能用于验证任何其他域，包括它被颁发给域的子域。域上的所有页面也都使用证书进行保护。例如，如果“imdb.com”具有单域证书，则该证书也涵盖“imdb.com/contact-us”。

2.通配符SSL证书

通配符 SSL 证书适用于单个域及其下的所有子域。子域是主域的扩展，通常在其 URL 的开头带有与“www”不同的内容。例如，“imdb.com”有一些子域，如“help.imdb.com”和“contribute.imdb.com”。它们都是“imdb.com”下的子域。用户可以通过单击浏览器 URL 窗口中的挂锁按钮来查看证书下的子域列表，然后单击“证书”（在 Chrome 等浏览器中）以查看通配符证书详细信息。

3.多域SSL证书

顾名思义，多域证书或 MDC 涵盖一个证书中的多个独立域。这意味着对于 MDC，不是彼此子域的域可以被证书覆盖。

SSL 证书验证级别

证书颁发机构在颁发 SSL 证书之前需要先验证组织，类似于颁发驾驶执照或医疗执照的方式。他们确保上述组织拥有并使用该域。这就是所谓的 SSL 证书验证。

有不同级别的验证，从彻底的背景搜索到最低限度的验证。来自任何这些验证级别的任何 SSL 证书通过该类型的 SSL 加密提供相同的保护。唯一的区别是对组织背景的调查的程度如何。

域验证 SSL 证书

域验证是最不严格的验证级别。对于此验证，组织只需证明他们负责域。这个过程通常是自动的；但是，他们也可以通过更改与域关联的 DNS 记录或向证书颁发机构发送电子邮件来实现此目的。DNS 记录是存在于原始 DNS 服务器中的指令，提供诸如哪个 IP 地址链接到该域以及如何处理域请求等信息。

这是最便宜的 SSL 认证级别。它主要用于快速启动 HTTPS 的博客、在线投资组合或小型企业，特别是如果他们不通过该网站销售产品。

组织验证 SSL 证书

组织验证需要更多的手动审查程序。认证机构联系申请证书的组织，该机构可能会做一些进一步的调查。组织验证证书包含组织的详细信息，如名称和地址，使用户看起来更值得信赖。

扩展验证 SSL 证书

此验证需要对组织进行全面的背景调查。当局确保该组织存在并且是合法注册的企业，他们的地址列表也是有效的，等等。这种验证需要最长的时间并且是最昂贵的，但它们比所有其他验证类型更值得信赖。这些是将浏览器的 URL 窗口变为绿色所需的必要证书，因为这是证明可信 SSL/TSL 加密站点的颜色。

银行、电子商务商店和其他大型企业获得扩展验证证书，因为它们在其网站上处理敏感的客户数据，例如密码、信用卡号或货币交易。

网站如何获取SSL证书？

要获得 SSL 证书，域需要向证书颁发机构 (CA) 申请。受信任的第三方组织调查域和组织以提供 SSL 证书。CA 使用他们的私钥对证书进行数字签名，允许客户端设备访问它。大多数 SSL 证书都会收取费用，但有些 CA 不会。

一旦证书被授予，它就会安装在客户端的源服务器上。网络托管服务可以为网站运营商处理这部分。一旦安装并激活证书，网站应该能够加载“HTTPS”，加密与网站的所有进一步交互。

提供 SSL 证书的服务

以下是提供 SSL 证书的一些服务及其价格范围的列表。

1.Comodo

Comodo 是一个非常实惠的 SSL 证书提供商。尽管验证可能需要一段时间，但有良好的客户支持，尤其是在验证所需的信息无法在线获得的情况下。他们的“高级”SSL 套餐五年的费用为 54.09 美元。在包裹中，您将获得经过验证的证书、256 位加密和 250,000 美元的第三方保修。他们的域验证费用为 7.27 美元/年。

2. DigiCert

DigiCert已经独立运营了几年，2017年，他们收购了诺顿的网站安全和相关的PKI（公钥基础设施）解决方案。尽管它们有有趣的通配符选项，并且诺顿的收购进一步加强了它们的价格，但它们的价格并不那么实惠。

DigiCert SSL 证书的费用为每年 218 美元（172 英镑），但您可能更喜欢为期两年的交易。您可以添加通配符 SAN 选项，每个 SAN 地起价为 605 美元。

3. Gworg

Gworg机构成立于1998年是全球知名的SSL证书颁发机构和领先的网络安全解决方案公司，提供全球可信DV、OV、EV企业级SSL证书、代码签名证书、S/MIME邮件证书、PDF/Office文档签名证书使全球组织能够保护其身份。

其他CA是：

Entrust Datacard

GeoTrust

GlobalSign

GoDaddy

Network Solutions

RapidSSL

SSL.com

Thawte

自签名 SSL 证书

个人可以通过生成公钥和私钥对并将所有需要的 SSL 信息放入其中来创建他们的 SSL 证书。这些证书是带有标签的自签名证书。原因是使用的数字签名是网站自己的私钥，而不是来自 CA 的私钥。没有第三方机构来验证源服务器的真实性，因此 Web 浏览器不信任自签名证书，并且可能仍将此类站点显示为“不安全”，即使它带有“HTTPS”标签。他们甚至可能阻止站点加载，终止连接。

为什么网站需要SSL证书？

互联网上的数据最初以纯文本形式传输，如果他们拦截了消息，任何人都可以理解。例如，如果用户要在亚马逊上付款，他们的信用卡详细信息、姓名甚至家庭住址在他们在网络上旅行时都不会被隐藏。攻击者可以拦截它并使用该信息做任何他们想做的事情。因此，SSL 通过加密信息直到它到达预期的网站或用户，从而产生了这个问题。任何拦截消息的第三方都会看到一长串毫无意义的字符。

SSL 还可以防止某些形式的网络攻击。它验证网站，使攻击者更难创建其他网站的虚假副本来欺骗用户并获取数据，验证用户是否与实际域服务器交互，从而防止域欺骗。它还可以保护传输中的数据免受攻击者的侵害。

SSL 证书对企业主也很重要，因为它使用“HTTPS”标签建立了客户的信任。这可能不容易引起注意，但大多数浏览器将仅使用“HTTP”的站点标记为“不安全”，以提示域所有者切换到 HTTPS 并“提高”安全性。

SSL和TSL更新

TSL（传输层安全）是 SSL 的直接子代。1999 年，Internet 工程任务组 (IETF) 对 Netscapes 的 SSL 进行了更新，并将名称更改为 TSL。他们的差异并不大；名称更改是为了显示所有权的更改。由于它们的密切关系，这两个名称通常互换并经常混淆。考虑到 SSL 现在已过时，现在任何提供“SSL”的权威都肯定会提供 TLS 保护。但这个名字仍然存在，因为人们仍在搜索这个词。

总之，如果您计划为您的企业、博客或投资组合网站构建网站，以确保数据的真实性和安全性并与客户建立信任，这些是您需要了解的基本要素

文章列表