一篇文章让你搞懂 SSL 证书
关于结婚这件事
那天和同事讨论到底什么才算是真正的「结婚」?这种话题本来是极其不应该存在的。传统意义的领个证书,办个婚礼、吃吃喝喝,但随着社会各族人民身心发展进化,原本那些繁琐流程简直是反人类,貌似现在也根本就不存在不结婚不不能干的事儿了。当然,就算结过婚后双方不开心,一起去再领个证书吃顿饭,散伙后大家依然是「好朋友」的也很多存在着。
嗯,我今天其实就是想说「证书」这件事。
关于 SSL 你可能以后用的上
SSL 证书是由受信任的数字证书颁发机构 CA,在验证服务器身份后颁发,且具有服务器身份验证和数据传输加密功能。简单说就是让你网站通过 HTTPS 加密传输协议访问的一个必要文件。
那什么是数字证书颁发机构 CA ?
数字证书认证机构(Certificate Authority,缩写为CA),是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA 机构是独立的,没有相互关系,这些机构都是在webtrust认证审核下成立的。
签发主流机构:Symantec、Comodo、GeoTrust、DigiCert、GlobalSign 等。
机构之间的区别主要有:机构品牌、证书加密方式、保险额度、服务与质量、浏览器支持率等。当然,CA 机构也符合「越大越好」这个说法。
SSL 证书验证级别
除了机构之间存在差异,人与人之间存在差异,就连 SSL 证书之间也存在差异。
SSL证书根据验证级别,分为三种类型:
- 域名型SSL证书,简称DVSSL;
- 企业型SSL证书,简称OVSSL;
- 增强型SSL证书,简称EVSSL。
一张表简单看一下它们之间的差别:
对比 | 域名型SSL (DVSSL) | 企业型SSL (OVSSL) | 增强型SSL (EVSSL) |
---|---|---|---|
英文名称 | Domain Validation SSL Certificate | Organization Validation SSL Certificate | Extended Validation SSL Certificate |
审核内容 | 域名管理权限 | 域名管理权限;企业名称、地址、电话等信息的真实性;域名管理权限; | 企业名称、地址、电话等信息的真实性;第三方数据库审查,例如邓白氏、114查号台、律师证明信等。 |
颁发周期 | 几分钟-几小时 | 3-5个工作日 | 5-7个工作日 |
赔付保障金 | 10-50万美金 | 50-150万美金 | 150-1750万美金 |
浏览器地址栏 | https + 小锁标志 | https + 小锁标志 | https 小锁标志 + 绿色地址栏 + 公司名字直显在浏览器地址栏 |
证书详情 | 使用者身份只显示某某域名 | 使用者身份显示公司名称 | 使用者身份显示公司名称 |
一般用途 | 个人站点; iOS应用分发下载;登录等单纯https加密需求的链接 | 企业网站 | 企业官网、电商、P2P等互联网金融网站 |
SSL 证书域名类型
除了验证级别维度的不同,统一级别的证书,它又根据保护域名的数量需求,SSL 证书又分为:
-
单域名版:只保护一个域名,例如 www.abc.com 或者 login.abc.com 之类的单个域名
-
多域名版:一张证书可以保护多个域名,例如同时保护 www.abc.com , www.bcd.com, pay.efg.com 等
-
通配符版:一张证书保护同一个主域名下同一级的所有子域名,不限个数,形如 *.abc.com 。注意,通配符版只有 DVSSL 和 OVSSL 具有, EVSSL 不具有通配符版本。
是不是看下来唯一感觉是:好特么复杂阿?别急,忘了告诉你,其实最重要的是它们每个的价格也不同,真特么的!!!
证书购买
不废话,直接丢出来一个对比表格,我做的。
附上表格中购买地址:
-
阿里云:https://common-buy.aliyun.com/?spm=5176.8064714.317898.pricedetail1111.uEwMu6&commodityCode=cas#/buy
-
腾讯云:https://www.qcloud.com/document/product/400/7994
TrustAsia®(亚洲诚信) -
GoDaddy:https://sg.godaddy.com/zh/web-security/ssl-certificate
当然,这些云服务提供商好像都有免费的单域名 SSL 证书可以申请。我之前也写过一篇:《让你的网站免费支持 HTTPS 及 Nginx 平滑升级》
总结一下
这篇文章简单研究了一下所谓的 SSL 证书,并没有深入的探讨客户端与服务器端通过 SSL 证书如何进行加密传输的,推荐大家有空要研究研究,毕竟对你家网站升级 HTTPS 非常有用。
有人说升级 HTTPS 很简单,就是买个证书配置一下的事儿。呵呵,行吧。其实那是你服务少、业务简单,当你存在几十个域名、几十个服务的时候,前端页面、后端业务错综复杂的时候,你全站升级 HTTPS 试试看,说多了都是泪。下一篇,我打算详细讲讲全站 HTTPS 的注意事项和坑!!!