什么是 SSL 证书及其工作原理
什么是 SSL 证书? 了解 SSL 的用途、SSL 和 TLS 之间的区别、它们的工作方式以及何时应该使用它们。
什么是 SSL 证书?
SSL(安全套接字层)是 TLS(传输层安全性)的通用名称,它是一种能够在两台机器之间进行加密通信的安全协议。 SSL 证书是利用此安全协议提供两个功能的小型数据文件:
- 身份验证 – SSL 证书用作验证网站身份的凭据。在证书颁发机构(也称为证书颁发机构 (CA))对请求证书的组织执行严格的审查过程后,它们被颁发给特定的域名和 Web 服务器。根据证书类型,它可以提供有关企业或网站身份的信息,并验证该网站是合法企业。
- 安全数据通信 - 当 SSL 安装在 Web 服务器上时,它会使挂锁出现在 Web 浏览器中。它激活 HTTPS 协议并在服务器和浏览器之间创建安全连接。它允许使用加密算法将传输中的数据加扰成无法破译的格式,只能使用正确的解密密钥读取。
Web 浏览器仅显示由受信任的 CA(如 Sectigo)签署的 SSL 安全指标。要成为受信任的 CA,公司必须遵守领先的浏览器和称为 CA/浏览器论坛的行业标准机构制定的安全和身份验证过程标准并定期进行审计。当受信任的 CA 向组织颁发证书时,浏览器会将该证书识别为合法的。浏览器让用户知道网址是安全的,用户可以安全地浏览网站并输入个人信息。
SSL 与 TLS 有什么区别?
TLS 是 SSL 的更新版本,提供了高级加密选项,但是这两个首字母缩写词通常被称为具有相同的含义。
安全套接字层 (SSL) 是第一个为确保通过开放互联网连接的服务器的身份而建立的加密协议的名称。该协议创建于 1995 年,旨在实现网络上的电子商务。 SSL 2.0 是用于生产系统的第一个协议版本,很快就被 SSL 3.0 取代。在 3.0 版之后,标准机构用称为传输层安全性 (TLS) 的更高级协议取代了 SSL。但是,到那时,SSL 一词已成为常见说法,因此它继续作为 TLS 的实际名称继续存在。
尽管证书本身不执行加密,但基于标准的客户端和服务器软件需要存在一个才能进行加密。这一要求是对这样一个事实的认可,即如果连接另一端的一方没有可靠的身份,加密本身就无法提供保护。目前加密 TLS 会话的选项包括 RSA(Rivest-Shamir-Adleman)、ECC(椭圆曲线加密)和 DSA(数字签名算法)。
证书类型
有不同类型的 TLS 证书可用,包括:
- 域名验证 (DV) - 接收行业标准加密的最简单且最具成本效益的方法
- 组织机构验证 (OV) - 从 DV 升级,组织必须是合法注册的企业并证明他们拥有该域名
- 扩展验证 (EV) - 提供最高级别信任的商业网站的行业标准
证书的其他变体包括通配符(用于主域及其子域)和多域(用于保护多个域)。
SSL 证书的工作原理
所有数字证书都是公钥交换或 PKI 的示例。最基本的,PKI 依赖于一对相互依赖的密钥,一个公钥和一个私钥。公钥用于加密信息,私钥用于解密。 SSL 的工作原理是通过可公开访问的网站提供公钥。相比之下,私钥在 Web 服务器上保持安全,因此从公钥所在的网站提交的任何数据只能由网站所有者解密,从而创建安全的 1:1 通信。
当一个人使用 SSL 证书访问网站时,会发生“握手”以在用户和组织之间创建安全通道,并保护在网站上提交的任何数据不被泄露。以下是握手过程实时工作的方式:
- 客户端系统(例如流行的 Web 浏览器)连接到使用 SSL/TLS 证书保护的服务器。
- 浏览器向服务器发送请求以识别自己。
- 服务器发回其 SSL 证书的副本,包括类型、有效期和组织详细信息。
- 浏览器检查它是否信任证书并将批准发送回服务器。如果证书未安装、未使用适当的安全协议更新或不是由浏览器信任的 CA 颁发,用户将在浏览器的地址栏中看到警告消息。
- 服务器发回数字签名确认以启动 SSL 加密会话。
- 浏览器和服务器之间共享的任何数据现在都是安全的。如果黑客拦截了通信,它将使用无法解密的密码保持加密状态。
用例
数以百万计的网站使用 SSL 来保护其网站上的浏览。 在所有网站上启用 HTTPS 不仅让消费者相信该网站是合法的并且可以安全地浏览或交易,而且 Google Chrome 等领先的浏览器也强制要求这样做。 没有证书的站点将在地址栏中显示“不安全”警告。
全球网站、移动设备和互联网连接设备的发展也扩大了其使用范围,远远超出了电子商务。 任何需要通过互联网安全地在设备之间共享数据的人都需要 SSL 证书。 它最常用于保护:
- 网上信用卡交易
- Web 表单和客户登录
- 电子邮件和网络邮件应用程序
- 通过 Intranet、文件共享、Extranet 和内部服务器进行企业通信
- 基于云的平台和虚拟化应用程序
- 通过 FTP 传输文件
- 与移动设备之间的数据传输
如果网站 URL 以 HTTPS:// 开头并且地址栏中有一个挂锁图标,则该网站正在使用安全的 TLS/SSL 连接。
好处和如何实施
安装 SSL 证书的首要任务是启动 Web 服务器和浏览器之间的安全会话。建立安全连接后,Web 服务器和访问者之间传递的所有信息都将保密并加密
其他 SSL 优势:
- 增加客户的信任。挂锁向客户保证他们的信息不会被泄露。数据将被发送到预期的目标服务器,并且不会被重定向到未经授权的第三方。
- 保护敏感信息免受网络钓鱼攻击。网络钓鱼网站是著名网站的欺诈性副本,其目的是诱骗您提交有价值的信息,例如您的信用卡或社会保险号。扩展验证证书通过在地址栏中显示网站所有者的完整公司名称来保护您免受网络钓鱼攻击。由于广泛的验证要求,网络钓鱼站点运营商无法获得 EV 证书。
- 更好的搜索引擎排名。 HTTPS 被世界上最大的搜索引擎之一谷歌视为排名信号。
在网站上安装 SSL 证书有 3 个简单的步骤:
- 购买由受信任的 CA 颁发的证书 - 可以从您的网络主机购买受信任的证书,也可以直接从受信任的 CA 购买。来自受信任 CA 的证书将被访问者使用的所有流行互联网浏览器(Chrome、Firefox、Internet Explorer、Safari 等)识别。
- 激活并安装证书 - 如果您从网络主机购买证书,那么他们可以为您执行此步骤。如果您自己管理站点,那么您需要完成的两个步骤是生成证书签名请求 (CSR),然后安装您的证书。在我们的知识库中,我们提供了一系列文档来帮助在不同的 Web 服务器软件上完成这两项任务。
- 将您的整个站点转换为 HTTPS - 在目标页面上安装证书后,修改您的站点,以便安全地提供所有内容。
如果您需要有关 SSL 证书如何工作或为您的网站选择合适的证书的更多信息,请联系 WoTrus。