一.什么是SSL证书
SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。
SSL 证书就是遵守 SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。
二.SSL认证原理
安全套接字层(SSL) 技术通过加密信息和提供鉴权,保护您的网站安全。一份 SSL 证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息,私用密钥用于解译加密的信息。浏览器指向一个安全域时,SSL 同步确认服务器和客户端,并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。 SSL的工作原理中包含如下三个协议。
1.握手协议
握手协议是客户机和服务器用SSL连接通信时使用的第一个子协议,握手协议包括客户机与服务器之间的一系列消息。SSL中最复杂的协议就是握手协议。该协议允许服务器和客户机相互验证,协商加密和MAC算法以及保密密钥,用来保护在SSL记录中发送的数据。握手协议是在应用程序的数据传输之前使用的。
2.记录协议
记录协议在客户机和服务器握手成功后使用,即客户机和服务器鉴别对方和确定安全信息交换使用的算法后,进入SSL记录协议,记录协议向SSL连接提供两个服务:
(1)保密性:使用握手协议定义的秘密密钥实现
(2)完整性:握手协议定义了MAC,用于保证消息完整性
3.警报协议
客户机和服务器发现错误时,向对方发送一个警报消息。如果是致命错误,则算法立即关闭SSL连接,双方还会先删除相关的会话号,秘密和密钥。每个警报消息共2个字节,第1个字节表示错误类型,如果是警报,则值为1,如果是致命错误,则值为2;第2个字节制定实际错误类型。
三.SSL证书的优点
一般说来,在网上进行电子商务交易时,交易双方需要使用数字签名来表明自己的身份,并使用数字签名来进行有关的交易操作。随着电子商务的盛行,数字签章的颁发机构 CA中心将为电子商务的发展提供可靠的安全保障。
一个有效、可信的 SSL 数字证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息,私用密钥用于解译加密的信息。因此,浏览器指向一个安全域时,SSL 将同步确认服务器和客户端,并创建一种加密方式和一个唯一的会话密钥。一般而言,由 CA 业界发出的数字证书,有别于国内浏览器业者比对域名信息等方式,采取更为严格的企业及所有权验证,为电商环境树立更为可信的运作环境。
如果您的网站使用 SSL 证书 (SSL Certificates),并显示了签章 (Secured Seal),您的客户就知道他们的交易安全可靠,并且充分信赖您的网站。
四.SSL证书的作用
1.提供身份验证
涉及到网络安全,身份验证是必不可少的。而安装 SSL 证书,网站就必须通过身份验证过程。通过后由权威第三方认证机构为用户颁发的“网络身份证”,实现实体的物理身份与网络的虚拟身份绑定,确保网站所有者在虚拟网络世界的真实身份。
2.防范网络钓鱼
钓鱼网站是由想要窃取用户信息的人创建的虚假网站,创建者很难获得有效的 SSL 证书。当用户在网站上看不到安全标志时,他们更有可能在不输入任何信息的情况下离开。所以有效的 SSL 证书可以防止对访问者的网络钓鱼攻击。
3.防止流量劫持
网络活动中,信息可能在传输过程被截获篡改后再转发,造成信息的不完整,在发生或可能发生信息篡改、丢失的情况时,网络服务提供者应当使用 SSL 证书对信息进行数字签名和完整性的保护,实现数据在服务器存储、传输和处理的过程中免遭任何非传授的或非预期的修改、插入、删除、重发、损毁等破坏。
4.提供数据加密
电子政务和电子商务涉及的机密或敏感信息在网络传输中存在被监听泄露的可能,网络服务提供者应当对这些信息进行加密。使用 SSL 证书对机密或敏感信息加密传输和保存,可以向访问者表明该网站上共享敏感信息是安全的,例如信用卡号、ID、电子邮件地址和密码。因此,SSL 加强了网站客户/访客之间的信任。
5.提高网站 SEO 排名
Google 在 2014 年发布的官方博客中指出,已经调整其搜索引擎算法,采用 HTTPS 加密的网站在搜索结果中的排名将会更高。其目标非常简单,就是要鼓励全球网站采用安全度更高的 HTTPS 以保证访客安全。因此网站采用 HTTPS 协议,可吸引更多的用户进行访问,提升网站的价值,增创营收。
6.提高网站信任度
SSL 证书充当信任指示器, 因为它带有绿色挂锁,挂锁是 SSL 证书提供的信任标志。它在用户和企业之间建立信任,为网站用户提供所有信息的安全性,从而提高网站信任度。
7.满足 PCI/DSS 的标准
网站接受在线支付时,必须了解 PCI/DSS 规范。网站需要与 PCI 会面才能接收在线付款。支付卡行业设定的 12 项关键规范之一是安装 SSL 证书 (PCI)。
五.SSL证书的类型
1.扩展验证证书(EV SSL):这是等级最高、最昂贵的SSL证书类型。它倾向于用于收集数据并涉及在线支付的高知名度网站。安装后,此SSL证书在浏览器地址栏上显示挂锁、HTTPS、企业名称和国家/地区。在地址栏中显示网站所有者的信息有助于将网站与恶意网站区分开。要设置EV SSL证书,网站所有者必须经历标准化的身份验证过程,以确认他们已获得该域的专有权利的合法授权。EV SSL证书遵循全球统一的严格身份验证标准,是目前业界安全级别最高的(Class4级)SSL证书。常见客户为金融、银行等。
2.组织验证证书(OV SSL):此SSL证书版本具有与EV SSL证书类似的保证级别,这是因为,要获得此证书,网站所有者需要完成实质性的验证过程。此类型的证书也会在地址栏中显示网站所有者的信息,以区别于恶意网站。OV SSL证书往往是价格第二高的证书(仅次于EV SSL),其主要目的是在交易期间对用户的敏感信息进行加密。商业或面向公众的网站必须安装OV SSL证书,以确保共享的任何客户信息都得到保密。
3.域验证证书(DV SSL):获得此SSL证书类型的验证过程是最简单的,因此,域验证SSL证书提供了较低程度的保证和最低程度的加密。它们通常用于博客或信息类网站,即,不涉及数据收集或在线支付的网站。此SSL证书类型是成本最低、获取速度最快的证书之一。验证过程仅要求网站所有者通过答复电子邮件或电话来证明域所有权。浏览器地址栏仅显示HTTPS和一个挂锁,没有显示公司名称。
4.通配符SSL证书:通配符SSL证书使您可以在单个证书上保护基本域和无限的子域。如果您有多个要保护的子域,那么,购买通配符SSL证书要比为每个子域购买单独的SSL证书便宜得多。通配符SSL证书的公用名中带有星号*,其中,星号表示具有相同基本域的任何有效子域。常见客户为个人博客等。
5.多域SSL证书(MDC):多域证书可用于保护许多域和/或子域名。这包括完全唯一的域和具有不同TLD(顶级域)的子域(本地/内部域除外)的组合。例如:dexunyun.com;默认情况下,多域证书不支持子域。如果您需要使用一个多域证书来保护 www.dexunyun.com dexunyun.com
6.统一通信证书(UCC):统一通信证书也被视为多域SSL证书。UCC最初的设计意图是保护Microsoft Exchange和Live Communications服务器。如今,任何网站所有者都可以使用这些证书,以允许在一个证书上保护多个域名。UCC证书经过组织验证,并在浏览器上显示挂锁。
为了保证网站用户的浏览体验和数据安全,也为了提高网站的权重和信任度,安装部署 SSL证书是很有必要的,德迅云安全不仅提供全面的SSL证书,也有7x24小时在线保障服务为您提供全程运维,协助您完成SSL证书的安装
