SSL数字证书基础介绍

SSL数字证书基础介绍

马草原 545 2020-07-11

SSL数字证书基础介绍

什么是SSL数字证书?

博客之前并没有使用HTTPS协议,在某些强制HTTPS的软件、浏览器中打开会被警告未安装可信任的SSL证书… 这里就为博客加一下HTTPS协议顺便说一下SSL证书。

SSL证书是数字证书的一种,遵守SSL协议,由个人或者组织结构来申请,受信任的根证书颁发机构颁发。

SSL证书采用SSL协议进行通信,SSL证书部署到服务器后,服务器端的访问将启用HTTPS协议。您的网站将会通过HTTPS加密协议来传输数据,可帮助服务器端和客户端之间建立加密链接,从而保证数据传输的安全。

SSL证书的作用

被浏览器信任

安装SSL证书的网站,经过浏览器访问,可以正常直接打开,并且浏览器地址栏加锁显示:
image-1700213996843

网站数据传输加密

安装了SSL证书之后,网站的所有请求和返回数据都会经过SSL协议加密,保护网站的注册、登录、在线交易等敏感信息,阻止在传输过程中可能出现的数据泄露风险。

获客信任

加锁的网站,特别是使用高规格证书的网站,更容易获得用户的信任,同时也是企业实力的一种体现。(当然对于个人来讲没什么卵用 加锁就够了🤪)

搜索排名提升

主流的搜索引擎,例如Goole、百度,对于https网站,都会优先进行展示和排名,这将有利于网站的SEO关键词排名。

社交软件拦截

这里重点说一下腾讯的社交软件🤬!没有HTTPS的个人站点几乎都会被微信、QQ拦截。。。


SSL证书的类型划分

SSL 证书根据验证级别主要分为EV、OV、DV三种类型

扩展验证证书 (EV SSL)

这是等级最高、最昂贵的 SSL 证书类型。它倾向于用于收集数据并涉及在线支付的高知名度网站。要设置 EV SSL 证书,网站所有者必须经历标准化的身份验证过程,以确认他们已获得该域的专有权利的合法授权。EV SSL证书遵循全球统一的严格身份验证标准,是目前业界安全级别最高的顶级(Class 4级)SSL证书。常见客户主要为金融、银行等。

组织验证证书 (OV SSL)

此 SSL 证书类型具有与 EV SSL 证书类似的保证级别,这是因为,要获得此证书,网站所有者需要完成实质性的验证过程。OV SSL 证书往往是价格第二高的证书(仅次于 EV SSL),其主要目的是在交易期间对用户的敏感信息进行加密。主要用于大型的企业客户。

域验证证书 (DV SSL)

获得此 SSL 证书类型的验证过程是最简单的,因此,域验证 SSL 证书提供了较低程度的保证和最低程度的加密。它们通常用于博客、信息类网站、中小企业网站等。此 SSL 证书类型是成本最低、获取速度最快的证书,仅仅要求用户验证域名所有权即可。


SSL证书域名类型

单域名SSL证书

即证书保护的域名主要为单独(不包含赠送域名)具体域名,例如aliyun.com域名申请单域名证书,则证书保护范围就是aliyun.com域名,a.aliyun.com域名就不在该类型证书保护范围内。但是大部分单域名规格都会自动赠送www.aliyun.com,此时该单域名证书同时保护aliyun.comwww.aliyun.com两个域名,反之亦然,如果www.aliyun.com主域名申请单域名证书,也会自动赠送aliyun.com域名。以上域名赠送规则不是必然的,但适用于大部分单域名SSL证书规格中,只有个别品牌个别规格存在不赠送的情况。公网IP也可以申请单域名证书,此时该证书只包含该公网IP。

通配符SSL证书

通配符SSL证书可以在单个证书上保护匹配的所有子域名。通配符 SSL 证书的主域名中带有星号*,其中,星号表示具有相同基本域的任何有效子域,例如*.aliyun.com,会匹配www.aliyun.coma.aliyun.com等等,但不会跨级匹配,例如不会匹配a.a.aliyun.comaliyun.com等域名。如果申请的域名是主域名的通配符,一般都会自动赠送主域名,例如*.aliyun.com,会自动赠送aliyun.com域名。但如果申请的域名是子域名的通配符,例如*.a.aliyun.com,此时大部分通配符规格将不会有任何赠送逻辑,只有少部分品牌的通配符规格,会自动赠送下一级的单域名,即a.aliyun.com

多域名SSL证书

多域证书可用于保护多个域名。如果一个证书要同时包含多级域名,或者是不同域名,或者是通配符域名和子域名混合、或者是多个通配符域名,此时都可以归类为多域名SSL证书,例如a.aliyun.comb.aliyun.comaliyun.comalibaba-inc.com等。多域名SSL证书也存在域名赠送逻辑,赠送依据主要是以第一个域名(即申请的comm name域名)为准,第一个域名为单域名,则赠送逻辑参考单域名SSL证书规格,第一个域名为通配符,则赠送逻辑参考通配符SSL证书规格。

SSL证书根据算法类型

RSA算法

应用较早,普及度高,比 ECC 算法的适用范围更广,兼容性好,一般采用2048位的加密长度,但是对服务端性能消耗相对略高,低于2048位的加密长度也可以使用,但是有些行业标准、合规规范要求至少为2048位。

ECC算法

中文名称为椭圆加密算法,新一代算法趋势主流,一般采用 256 位加密长度,加密速度快,效率更高,对服务器资源消耗低,而且重要的是更安全,抗攻击性更强。但在一些比较老旧的系统环境中存在不支持的情况,因此它的兼容性相比 RSA 要差一些。

SM2算法

也就是国密证书,由于SM2国密算法的SSL证书目前仅仅少数几款国产浏览器支持,例如红莲花、国密浏览器、360国密浏览器等,且需要相应的服务器环境支持,目前的普及程度还远远不及 RSA 和 ECC,常用在金融等合规要求的行业。


不会有人问我用的什么SSL证书吧🙄???

我用的免费证书(Let’s Encrypt)🤐
通过 Nginx Proxy Manager托管申请+自动续期…

NginxProxyManagerSSL

日常 技术 分享