什么是 SSL 证书
SSL(Secure Sockets Layer) 代表安全套接字协议,是为网络通信提供安全及数据完整性的一种安全协议。SSL 证书通常用来作为身份的绑定证明,幷包含了允许浏览器和服务器建立加密的信息。
SSL 证书本身是一条数据记录,里面包含了颁发者的姓名,序列号,用于加密的指纹等大量信息。如果网站想要使用 SSL 证书进行加密,则需要将其安装在网站对应的服务器上。
SSL 证书的有效期
在网站服务器上部署好 SSL 证书并非一劳永逸,因为 SSL 证书并非永久有效的。从 2020 年 9 月 1 日起,大部分 CA 机构只签发有效期为一年的 SSL 证书。虽然证书有效期的缩短导致了证书和私钥的管理成本提高,但可以确保技术人员采用最新加密标准的 SSL 证书,保护网站安全性,减少证书被盗用的风险。
SSL 证书的类型
当然,SSL 的区别并非只有有效时间和签发机构的不同,影响 SSL 证书安全性的最主要取决于它的验证方式。SSL 证书根据验证方式可以分为三种,每种不仅验证方式不同,而且在相关成本方面也有差异。
域名型 SSL 证书(DV SSL)
即证书颁布机构只对域名的所有者进行在线检查,通常是验证域名下某个指定文件的内容,或者验证与域名相关的某条 TXT 记录;比如访问 [http|https]://www.domain.com/…/test.txt,文件内容: 2016082xxxxx39w7b20nelfa;或添加一条 TXT 记录:www.domain.com –> TXT –> 20170xxxxxqmkiby43hpvy8
由于验证过程可以完全自动化,很多人认为它不安全。因此,某些浏览器会分别标记 DV SSL 证书,以指出与其他证书相比较低的安全标准。
企业型 SSL 证书(OV SSL)
OV SSL 是要购买者提交组织机构资料和单位授权信等在官方注册的凭证,证书颁发机构在签发 SSL 证书前不仅仅要检验域名所有权,还必须对这些资料的真实合法性进行多方查验,只有通过验证的才能颁发 SSL 证书。OV SSL 证书为 Internet 用户提供了更高的安全性。
增强型 SSL 证书(EV SSL)
虽然也是基于 SSL/TLS 安全协议,但是验证流程更加具体详细,验证步骤更多。EV SSL 证书提供了最高级别的安全性。使用这种类型的证书,需要检查与之关联的域和组织以及申请人本身的情况。它还会检查申请人是否确实在该组织或公司工作,以及是否有权申请证书。
它跟普通 SSL 证书的区别非常明显,安全浏览器的地址栏会变绿,如果是不受信的 SSL 证书会拒绝显示,如果是钓鱼网站,地址栏则会变成红色,以警示用户。
SSL 证书如何加密
通常情况下对于数据的加密传输,我们需要一个密钥来加密某些内容,并且需要完全相同的密钥对消息再次解密。但是,这种方法在 Internet 上并没有意义,因为用户经常会与从未进行过通信的人员或组织进行联系。因此,如果没有事先通过公共可访问的媒体发送未加密的密钥,就无法传递密钥。
SSL 证书的加密方式与上述有些不同,是基于公共密钥基础设施(PKI)与公钥的加密,此方法包含两个不同的加密密钥:私钥和公钥,公钥用于加密,私钥则用于解密。
这两个密匙是不同的,但彼此相关。如果想要使用特定公钥加密的信息只能使用附属于该公匙的私钥进行解密。如果经客户端验证公钥可以与私钥进行匹配,则建立安全连接。这称为“非对称加密”。
如何识别 SSL 证书
了解了 SSL 证书的加密原理,我们来看看如何查看网站是否已经部署了 SSL 证书。
其实这个非常容易,只需要看浏览器地址栏就可以。可以通过两点判定这个网址是否加密:
一是“锁”形的符号标记,表明用户正在访问的网站具有有效的证书。点击“锁”标记还可以通过弹开的窗口查看到证书颁发者、使用的加密有效信息等众多网站安全性信息;
第二个则是地址是否以“ https://”开头。与普通的http 相比,附加的 “ s” 代表 “安全”,并表示已向超文本传输协议中添加了 SSL/TLS 加密。
如果您所在的网站没有使用验证过的 SSL 证书,则不会出现“锁”或“ [https://”在地址栏中。
虽然网站没有使用 SSL 证书,并不一定意味着该网站是欺诈网站。但是,与具有 SSL 证书的网站相比,使用这些网站有更高的风险被第三方窃取个人资料。
因此对于网站来说 SSL 证书其实是不可缺少的存在。