什么是 SSL 证书 – 定义和解释
什么是 SSL 证书?
SSL 证书是一个数字证书,用于认证网站的身份并启用加密连接。SSL 代表安全套接字层,这是一个安全协议,可在 Web 服务器和 Web 浏览器之间创建加密链接。
公司和组织需要在其网站上添加 SSL 证书,以保护在线交易并保持客户信息的私密性和安全性。
简而言之:SSL 可确保互联网连接的安全,并防止犯罪分子读取或修改两个系统之间传输的信息。如果您在地址栏中的 URL 旁看到一个挂锁图标,则表示 SSL 在保护您正在访问的网站。
自 SSL 协议在约 25 年前发布以来,已经有多个版本问世,所有这些版本在某些时候都会遇到安全性方面的难题。随后出现了经过修改和重命名的版本 - TLS(传输层安全性),至今仍在使用。但是,首字母缩写 SSL 早已深入人心,因此该协议的新版本通常仍在使用这一旧名称。
SSL 证书如何工作?
SSL 的原理是确保用户和网站之间或两个系统之间传输的任何数据始终无法被读取。它使用加密算法对传输中的数据进行加密,从而防止黑客读取通过连接发送的数据。该数据包括潜在的敏感信息,例如姓名、地址、信用卡号或其他财务详细信息。
该过程如下所示:
- 浏览器或服务器尝试连接到使用 SSL 保护的网站(即 Web 服务器)。
- 浏览器或服务器请求 Web 服务器证明自己的身份。
- 作为响应,Web 服务器向浏览器或服务器发送它的 SSL 证书的副本。
- 浏览器或服务器检查以了解是否信任 SSL 证书。如果信任,它将向 Web 服务器发出信号。
- 然后,Web 服务器返回经过数字签名的确认,以启动 SSL 加密会话。
- 加密数据在浏览器或服务器与 Web 服务器之间共享。
此过程有时称为“SSL 握手”。虽然这个过程听起来似乎很漫长,但实际发生时只有几毫秒。
当网站具备 SSL 证书保护时,首字母缩写 HTTPS(代表安全超文本传输协议)会显示在 URL 中。如果没有 SSL 证书,则只会显示字母 HTTP(即没有代表安全的 S)。URL 地址栏中也会显示一个挂锁图标。这表示信任,并向那些访问该网站的人提供了保证。
要查看 SSL 证书的详细信息,可以单击浏览器栏中的挂锁符号。SSL 证书中通常包括的详细信息包括:
- 针对其颁发证书的域名
- 颁发给哪个人、组织或设备
- 哪个证书颁发机构颁发了证书
- 证书颁发机构的数字签名
- 关联的子域
- 证书的颁发日期
- 证书的到期日期
- 公钥(不公开私钥)
为什么需要 SSL 证书
网站需要 SSL 证书来确保用户数据的安全,验证网站的所有权,防止攻击者创建虚假网站版本,以及将信任传达给用户。
如果网站要求用户登录、输入个人详细信息(例如其信用卡号)或查看机密信息(例如,健康福利或财务信息),则必须对数据保密。SSL 证书有助于保持在线互动的私密性,并向用户保证该网站是真实可靠的,可以与其共享私密信息。
与企业更相关的事实是,HTTPS Web 地址需要 SSL 证书。HTTPS 是 HTTP 的安全形式,这意味着 HTTPS 网站的流量通过 SSL 进行了加密。大多数浏览器将 HTTP 网站(没有 SSL 证书的网站)标记为“不安全”。这向用户发出了一个明确的信号,即该网站可能不值得信任,这有助于敦促尚未迁移到 HTTPS 的企业执行迁移。
SSL 证书有助于保护信息,例如:
- 登录凭据
- 信用卡交易或银行账户信息
- 个人身份信息 - 例如全名、地址、出生日期或电话号码
- 法律文档和合同
- 病历
- 专有信息
SSL 证书的类型
有不同类型的 SSL 证书,具有不同的验证级别。六种主要类型包括:
- 扩展验证证书 (EV SSL)
- 组织验证证书 (OV SSL)
- 域验证证书 (DV SSL)
- 通配符 SSL 证书
- 多域 SSL 证书 (MDC)
- 统一通信证书 (UCC)
扩展验证证书 (EV SSL)
这是等级最高、最昂贵的 SSL 证书类型。它倾向于用于收集数据并涉及在线支付的高知名度网站。安装后,此 SSL 证书在浏览器地址栏上显示挂锁、HTTPS、企业名称和国家/地区。在地址栏中显示网站所有者的信息有助于将网站与恶意网站区分开。要设置 EV SSL 证书,网站所有者必须经历标准化的身份验证过程,以确认他们已获得该域的专有权利的合法授权。
组织验证证书 (OV SSL)
此 SSL 证书版本具有与 EV SSL 证书类似的保证级别,这是因为,要获得此证书,网站所有者需要完成实质性的验证过程。此类型的证书也会在地址栏中显示网站所有者的信息,以区别于恶意网站。OV SSL 证书往往是价格第二高的证书(仅次于 EV SSL),其主要目的是在交易期间对用户的敏感信息进行加密。商业或面向公众的网站必须安装 OV SSL 证书,以确保共享的任何客户信息都得到保密。
域验证证书 (DV SSL)
获得此 SSL 证书类型的验证过程是最简单的,因此,域验证 SSL 证书提供了较低程度的保证和最低程度的加密。它们通常用于博客或信息类网站,即,不涉及数据收集或在线支付的网站。此 SSL 证书类型是成本最低、获取速度最快的证书之一。验证过程仅要求网站所有者通过答复电子邮件或电话来证明域所有权。浏览器地址栏仅显示 HTTPS 和一个挂锁,没有显示公司名称。
通配符 SSL 证书
通配符 SSL 证书使您可以在单个证书上保护基本域和无限的子域。如果您有多个要保护的子域,那么,购买通配符 SSL 证书要比为每个子域购买单独的 SSL 证书便宜得多。通配符 SSL 证书的公用名中带有星号 *,其中,星号表示具有相同基本域的任何有效子域。例如,*网站的单个通配符证书可用于保护:
- yourdomain.com
- yourdomain.com
- yourdomain.com
- yourdomain.com
- yourdomain.com
多域 SSL 证书 (MDC)
多域证书可用于保护许多域和/或子域名。这包括完全唯一的域和具有不同 TLD(顶级域)的子域(本地/内部域除外)的组合。
例如:
- example.com
- org
- this-domain.net
- anything.com.au
- example.com
- example.org
默认情况下,多域证书不支持子域。如果您需要使用一个多域证书来保护 www.example.com 和 example.com,那么,在获取证书时,应同时指定两个主机名。
统一通信证书 (UCC)
统一通信证书 (UCC) 也被视为多域 SSL 证书。UCC 最初的设计意图是保护 Microsoft Exchange 和 Live Communications 服务器。如今,任何网站所有者都可以使用这些证书,以允许在一个证书上保护多个域名。UCC 证书经过组织验证,并在浏览器上显示挂锁。UCC 可以用作 EV SSL 证书,它会显示为绿色的地址栏,为网站访问者提供最高等级的保证。
您必须熟悉不同类型的 SSL 证书,以便为您的网站获取正确的证书类型。
如何获得 SSL 证书
SSL 证书可以直接从证书颁发机构 (CA) 获取。证书颁发机构(有时也称为认证颁发机构)每年颁发数百万个 SSL 证书。在确保互联网正常运行以及在线实现透明、可信任的交互的过程中,他们起着至关重要的作用。
SSL 证书的费用从免费到数百美元不等,具体取决于所需的安全级别。一旦确定了所需的证书类型,便可以查找证书颁发机构,颁发机构可提供所需级别的 SSL。
获取 SSL 涉及以下步骤:
- 在准备过程中,设置服务器并确保您的 WHOIS 记录已更新并与您提交给证书颁发机构的内容相匹配(它需要显示正确的公司名称和地址等信息)。
- 在您的服务器上生成证书签名请求 (CSR)。您的托管公司可以协助您执行此操作。
- 将此请求提交给证书颁发机构,以验证您的域和公司详细信息
- 此过程完成后,安装他们提供的证书。
获得证书后,则需要在 Web 主机或自己的服务器(如果您自己托管网站)上配置证书。
收到证书的速度取决于获得的证书类型以及从哪个证书提供商那里购买证书。每个级别的验证所需的时长不同。简单的域验证 SSL 证书可以在订购后的几分钟内颁发,而扩展验证证书则需要长达整整一周的时间。
SSL 证书可以在多台服务器上使用吗?
同一服务器上的多个域可以使用一个 SSL 证书。根据具体供应商的不同,您还可以在多个服务器上使用一个 SSL 证书。这是因为我们在上面讨论过的多域 SSL 证书。
顾名思义,多域 SSL 证书可用于多个域。数量取决于特定的证书颁发机构。多域 SSL 证书与单域 SSL 证书不同,顾名思义,单域 SSL 证书旨在保护单个域。
不过可能会让您困惑的是,您可能听说过多域 SSL 证书也称为 SAN 证书。SAN 代表主题备用名称。每个多域证书都有附加字段(即 SAN),您可以使用这些字段列出要包含在一个证书下的附加域。
统一通信证书 (UCC) 和通配符 SSL 证书也允许包含多个域,在后一种情况下,可以包含不限数量的子域。
SSL 证书过期会怎样?
SSL 证书会过期; 它们不会永远保持有效。作为 SSL 行业事实上的监管机构,证书颁发机构/浏览器论坛规定,SSL 证书的寿命不应超过 27 个月。从本质上讲,这意味着两年,如果您续订以前的 SSL 证书时还有剩余的有效时间,则最多可以延长三个月。
SSL 证书之所以会到期,是因为与任何形式的身份验证一样,需要定期重新验证信息,以检查其是否仍然准确。公司和网站不时会有转手买卖,互联网上的事物也会发生变化。当它们易手时,与 SSL 证书有关的信息也会改变。有效期的目的是确保用于认证服务器和组织的信息尽可能最新和准确。
以前,可以颁发有效期长达五年的 SSL 证书,随后缩减为三年,最近缩减为两年,外加可能延长的三个月。2020 年,Google、Apple 和 Mozilla 宣布将实施为期一年的 SSL 证书,尽管该建议已被证书颁发机构浏览器论坛投票否决。但这项决定仍从 2020 年 9 月开始生效。将来,有效期还可能会进一步缩短。
如果网站的 SSL 证书过期,那么用户就无法访问该网站。当用户的浏览器到达网站时,它会用数毫秒时间检查 SSL 证书的有效性(作为 SSL 握手的一部分)。如果 SSL 证书已过期,则访问者将收到一条消息,表示“此网站不安全。继续访问将面临潜在风险”。
尽管用户可以选择继续访问,但鉴于涉及的网络安全风险(包括恶意软件的可能性),不建议这样做。对于网站所有者来说,这会大大影响跳出率,因为用户会快速离开其主页并转到其他位置。
对于大型企业来说,监控 SSL 证书的过期时间是一项艰巨挑战。中小型企业 (SME) 可能只需管理一个或几个证书,而可能跨市场交易的企业级组织(具有大量网站和网络)将拥有更多的证书。在此级别上,需要通过监督来管理 SSL 证书的过期,而不是因为无能而听之任之。对于大型企业而言,最好的方法是使用证书管理平台来监控 SSL 证书的过期时间。市场中有各种产品,您可以使用在线搜索找到这些产品。这些产品使企业可以在整个基础架构中查看和管理数字证书。如果您在使用这些平台之一,则必须定期登录,这样您就可以知道何时需要续订。
如果您允许证书过期,则证书将失效,并且您将不再能够在您的网站上运行安全交易。证书颁发机构 (CA) 会提示您在到期日期之前续订 SSL 证书。
无论您使用哪个证书颁发机构或 SSL 服务以获取 SSL 证书,他们都将按设置的时间间隔(通常从 90 天开始)向您发送过期通知。尝试确保这些提醒发送给电子邮件通讯列表 - 而不是个人,后者在发送提醒时可能已经离开公司或移任其他职位。考虑一下您公司中的哪些利益相关者在此通讯列表中,以确保合适的人在正确的时间看到提醒。
如何判断网站是否具有 SSL 证书
查看网站是否具有 SSL 证书的最简单方法是查看浏览器中的地址栏:
- 如果 URL 以 HTTPS(而不是 HTTP)开头,则意味着该网站使用 SSL 证书进行了安全保护。
- 安全网站显示了一个闭合挂锁标志,您可以单击该标志以查看安全详细信息 - 最值得信赖的网站将带有绿色的挂锁或地址栏。
- 当连接不安全时,浏览器还会显示警告标志,例如红色挂锁、未闭合的挂锁、穿过网站地址的直线或挂锁标志上的警告三角形。
如何确保您的在线会话安全
仅将您的个人数据和在线支付详细信息提交给具有 EV 或 OV 证书的网站。DV 证书不适用于电子商务网站。您可以通过查看地址栏来判断网站是否具有 EV 或 OV 证书。对于 EV SSL,组织名称将在地址栏中显示。对于 OV SSL,您可以通过单击挂锁图标来查看组织名称的详细信息。对于 DV SSL,仅挂锁图标可见。
阅读网站的隐私政策。这使您可以查看网站会如何使用您的数据。合法公司将开诚布公地说明他们如何收集您的数据以及如何处理您的数据。
在网站上寻找信任信号或指标。
除 SSL 证书外,这些信号还包括信誉良好的徽标或徽章,它们表明网站符合特定的安全标准。其他可以帮助您确定网站是否真实的手段包括检查实际地址和电话号码,检查网站的退货或退款政策,以及确保价格可信,且不会优惠到难以置信。
警惕网络钓鱼诈骗。
有时,网络攻击者会创建模仿现有网站的网站,以诱骗人们购买某些产品或登录网络钓鱼网站。网络钓鱼网站可以获取 SSL 证书,从而对在您和该网站之间流动的所有流量进行加密。越来越多的网络钓鱼诈骗发生在 HTTPS 网站上 - 欺骗了那些因挂锁图标的存在而感到放心的用户。
要避免此类攻击:
- 始终检查您所在的网站的域名,并确保其拼写正确。假冒网站的 URL 可能只相差一个字符,例如com,而不是 amazon.com。如有疑问,请直接在浏览器中键入域名,以确保连接到您需要访问的网站。
- 除非您确定网站的真实性,否则切勿在网站上输入登录名、密码、银行凭据或任何其他个人信息。
- 请始终谨慎考虑某个特定网站提供的内容、它是否看起来可疑以及您是否真的需要在该网站上注册。
- 确保设备受到良好保护:Kaspersky Internet Security 会根据大型网络钓鱼网站数据库检查 URL,并且能有效监测到欺诈 - 不论资源表面看起来有多“安全”。
网络安全风险在继续演变,但是,通过了解要寻找的 SSL 证书类型以及如何将安全网站与潜在危险网站区分开,将有助于互联网用户避免欺诈并保护其个人数据免受网络罪犯侵害。
相关文章:
什么是 SSL 证书 – 定义和解释
Kaspersky
