什麼是 SSL 證書
SSL(Secure Sockets Layer) 代表安全套接字協議,是爲網絡通信提供安全及數據完整性的一種安全協議。SSL 證書通常用來作爲身份的綁定證明,幷包含了允許瀏覽器和服務器建立加密的信息。
SSL 證書本身是一條數據記錄,裏面包含了頒發者的姓名,序列號,用於加密的指紋等大量信息。如果網站想要使用 SSL 證書進行加密,則需要將其安裝在網站對應的服務器上。
SSL 證書的有效期
在網站服務器上部署好 SSL 證書並非一勞永逸,因爲 SSL 證書並非永久有效的。從 2020 年 9 月 1 日起,大部分 CA 機構只簽發有效期爲一年的 SSL 證書。雖然證書有效期的縮短導致了證書和私鑰的管理成本提高,但可以確保技術人員採用最新加密標準的 SSL 證書,保護網站安全性,減少證書被盜用的風險。
SSL 證書的類型
當然,SSL 的區別並非只有有效時間和簽發機構的不同,影響 SSL 證書安全性的最主要取決於它的驗證方式。SSL 證書根據驗證方式可以分爲三種,每種不僅驗證方式不同,而且在相關成本方面也有差異。
域名型 SSL 證書(DV SSL)
即證書頒佈機構只對域名的所有者進行在線檢查,通常是驗證域名下某個指定文件的內容,或者驗證與域名相關的某條 TXT 記錄;比如訪問 [http|https]://www.domain.com/…/test.txt,文件內容: 2016082xxxxx39w7b20nelfa;或添加一條 TXT 記錄:www.domain.com –> TXT –> 20170xxxxxqmkiby43hpvy8
由於驗證過程可以完全自動化,很多人認爲它不安全。因此,某些瀏覽器會分別標記 DV SSL 證書,以指出與其他證書相比較低的安全標準。
企業型 SSL 證書(OV SSL)
OV SSL 是要購買者提交組織機構資料和單位授權信等在官方註冊的憑證,證書頒發機構在簽發 SSL 證書前不僅僅要檢驗域名所有權,還必須對這些資料的真實合法性進行多方查驗,只有通過驗證的才能頒發 SSL 證書。OV SSL 證書爲 Internet 用戶提供了更高的安全性。
增強型 SSL 證書(EV SSL)
雖然也是基於 SSL/TLS 安全協議,但是驗證流程更加具體詳細,驗證步驟更多。EV SSL 證書提供了最高級別的安全性。使用這種類型的證書,需要檢查與之關聯的域和組織以及申請人本身的情況。它還會檢查申請人是否確實在該組織或公司工作,以及是否有權申請證書。
它跟普通 SSL 證書的區別非常明顯,安全瀏覽器的地址欄會變綠,如果是不受信的 SSL 證書會拒絕顯示,如果是釣魚網站,地址欄則會變成紅色,以警示用戶。
SSL 證書如何加密
通常情況下對於數據的加密傳輸,我們需要一個密鑰來加密某些內容,並且需要完全相同的密鑰對消息再次解密。但是,這種方法在 Internet 上並沒有意義,因爲用戶經常會與從未進行過通信的人員或組織進行聯繫。因此,如果沒有事先通過公共可訪問的媒體發送未加密的密鑰,就無法傳遞密鑰。
SSL 證書的加密方式與上述有些不同,是基於公共密鑰基礎設施(PKI)與公鑰的加密,此方法包含兩個不同的加密密鑰:私鑰和公鑰,公鑰用於加密,私鑰則用於解密。
這兩個密匙是不同的,但彼此相關。如果想要使用特定公鑰加密的信息只能使用附屬於該公匙的私鑰進行解密。如果經客戶端驗證公鑰可以與私鑰進行匹配,則建立安全連接。這稱爲“非對稱加密”。
如何識別 SSL 證書
瞭解了 SSL 證書的加密原理,我們來看看如何查看網站是否已經部署了 SSL 證書。
其實這個非常容易,只需要看瀏覽器地址欄就可以。可以通過兩點判定這個網址是否加密:
一是“鎖”形的符號標記,表明用戶正在訪問的網站具有有效的證書。點擊“鎖”標記還可以通過彈開的窗口查看到證書頒發者、使用的加密有效信息等衆多網站安全性信息;
第二個則是地址是否以“ https://”開頭。與普通的http 相比,附加的 “ s” 代表 “安全”,並表示已向超文本傳輸協議中添加了 SSL/TLS 加密。
如果您所在的網站沒有使用驗證過的 SSL 證書,則不會出現“鎖”或“ [https://”在地址欄中。
雖然網站沒有使用 SSL 證書,並不一定意味着該網站是欺詐網站。但是,與具有 SSL 證書的網站相比,使用這些網站有更高的風險被第三方竊取個人資料。
因此對於網站來說 SSL 證書其實是不可缺少的存在。