HTTPS不再是可选项,而是数字时代的生存刚需,在浏览器地址栏中,那个不起眼的“锁头”图标,正悄然成为用户判断网站可信度的第一道门槛。
浏览器对于未安装SSL证书的网站,在地址栏超级为"不安全",甚至会拦截用户的访问。对于大多数站点只在关注证书是否免费,从未深究其中的区别,今天潘某人SEO带你全面的了解下SSL证书的那些事。
SSL证书的类别
SSL证书从类型上可以分为三类:DV、OV、EV,这三者在验证机制、安全等级、应用场景上都有着区别,对于站点原则正确的证书类型很关键。
DV证书(Domain Validation)
看名字就很清楚了DV证书是通过验证域名所有权,不会对验证申请者的身份。
验证形式:申请者通过DNS解析(添加TXT记录)或邮箱验证(向域名注册邮箱发送验证码), CA机构确认申请者对域名的控制权;签发速度一般只要几分钟,签发过程完全是自动化的,没有人工审核环节。
也就是说DV证书并不能体现申请人的身份,适合用于:个人博客、测试环境、开源项目演示站点 、CDN加速域名加密等。
DV证书是最受欢迎的,是广大企业的原则,因为DV证书可以零成本申请到SSL证书,当然也有付费的DV证书。
OV证书(Organization Validation)
看名字就可以知道OV证书验证的是组织机构身份。
验证形式:OV证书会对申请人的身份进行验证,需要提交企业营业执照/组织机构代码证,由CA人工核验企业注册信息、电话验证企业联系电话真实性等。签发周期需要3-5个工作日。
OV证书价格,如果是单域名价格在1000元左右/年,如果是通配或多域名价格在2000-3000元/年,不同品牌的证书价格会有一定差异,兼容性越好的品牌的证书价会更贵,会远超上面的价格。
EV证书(Extended Validation)
验证形式:企业资质文件公证(需律师事务所或银行背书),第三方数据库交叉验证,人工致电企业法定代表人确认,审核企业实际办公地址等。
签发周期:7-10个工作日,物理安全要求:私钥必须存储在HSM硬件加密模块,典型用途:银行/证券交易平台、电商支付网关等。单域名价格一般在3000元以上/年。
对于业务中使用多个子域名的企业,通配符证书是绝佳的选择,即方便管理和维护同时可以平摊成本,可以节省购买多个证书的费用。
数据来源:站长之家–SSL大数据截图
从上图中我们可以看出,DV方式以其验证便捷、签发速度快,并且可免费获得,DV证书占比极高,是大多数站点的选择。
不同价格和类型的SSL证书在基础安全加密上并无区别,只是在验证流程、信任度、附加服务等方面存在差异。
所有SSL证书(DV、OV、EV)均使用相同的加密技术(如TLS协议、SHA-256签名、RSA/ECC密钥等),无论价格高低,它们对数据的加密保护能力是相同的。安全性取决于服务器的配置(如支持协议版本、密钥长度),而非证书类型或价格。
CA机构
接下来我们来了解下上面提到的CA机构,CA(Certificate Authority)是负责签发和管理数字证书的第三方机构,用于验证网站、服务器或实体的身份,确保互联网通信(如HTTPS)的加密和安全性。
常见的CA机构:DigiCert、Sectigo(原Comodo CA)、Let’s Encrypt、GoDaddy、GlobalSign、Entrust、IdenTrust等。
如何选择CA机构
选择CA机构时一定要选择,受操作系统信任的CA机构,否则及时签发安装了SSL证书依然不会被浏览器信任。
受信任的CA机构的根CA证书会预装在浏览器/操作系统的信任库中。浏览器是否信任SSL证书,取决于该证书的签发机构是否在操作系统或浏览器的信任名单中。如windows系统,可以直接运行“
certmgr.msc”查看系统内内置的‘受信任根证书颁发机构’和‘中间证书颁发机构’;谨慎起见你可以较差对比自己所则的SSL证书颁发机构是否在所有常见操作系统的信任名单中。简单点,只要选择知名老牌颁发机构,不会出现证书受信任问题。
比起SSL证书的种类,其签发CA机构对于安全性的影响更大,部分CA可能因安全事件被暂停信任。因此,需要尽可能选择一些老牌和知名的CA机构的SSL证书,才是保障安全的关键。
SSL证书工作原理
SSL证书用于在客户端(如浏览器)和服务器之间建立加密通道,确保数据传输的机密性、完整性和身份认证。其核心机制结合了非对称加密(身份验证和密钥交换)和对称加密(高效数据传输)。
证书内容:服务器域名(Subject CN/SAN)、公钥(服务器生成的非对称公钥)、签发机构(Issuer)、有效期(Validity Period)、CA的数字签名(用CA私钥加密的证书摘要)。
信任链的建立
中间CA的信任传递:若服务器证书由中间CA签发,浏览器需获取中间CA证书(通常由服务器在握手时发送),逐级验证至根CA。
浏览器通过验证证书链来信任服务器证书:①根CA证书–预装在浏览器/操作系统的信任库中–>②中间CA证书–由根CA签发,用于实际签发服务器证书–>③服务器证书–由中间CA签发,包含服务器公钥。
验证过程:①浏览器检查服务器证书的签名是否由可信CA签发–>②逐级回溯证书链,直至找到信任的根CA证书–>③验证签名(用上级CA的公钥解密签名,比对证书摘要)。
TLS握手建立
第一步:客户端发起握手,客户端(浏览器)发送 ClientHello,客户端发送支持的TLS版本、加密套件列表。
第二步:服务器回应Server Hello,服务器选择加密套件,并发送SSL证书(含公钥)。
第三步:证书验证,浏览器检查证书有效性(域名匹配、有效期、吊销状态),通过OCSP或CRL检查证书是否被吊销。
第四步:密钥交换,客户端生成预备主密钥(Pre-Master Secret),用服务器公钥加密后发送。服务器用私钥解密,获得预备主密钥。
第五步:生成会话密钥,双方用预备主密钥生成对称加密密钥(如AES密钥)。
第六步:加密通信,后续数据传输使用对称加密。
SSL证书如何查看
通过浏览器直接查看,打开浏览器,输入目标网址(如 https://www.chateach.com),查看地址栏左侧显示「锁形图标」,不同的浏览器显示的图标可能不同,此处以Edge浏览器为例子。
如果是不信任的SSL证书,浏览器会有提示,并且会拦截访问;点击这个图标就可以查看证书,如下图所示。
颁发给 :CN (Common Name):证书绑定的域名、O (Organization):申请证书的组织名称、OU (Organizational Unit):部门名称(可选);
颁发者:签发证书的证书颁发机构(CA)。
有效期:证书颁发时间、证书过期时间。
指纹与签名:如 SHA-256 with RSA,证书的唯一标识,用于校验证书完整性。
更多的信息可以点击详细信息查看,也可以使用一些在线工具输入域名可获取详细证书分析和安全评分,如SSL Labs测试、Decoder工具等。前面提到了SSL证书分为DV、OV、EV三类,再次就可以非常容易的分辨。对于DV证书,字段颁发给的组织是为空的,并且通过字段颁发者的名称分辨,在其公用名中会体现。
如何申请SSL证书
申请SSL证书非常简单,一般直接选择域名所在厂商,可以直接一键自动的添加解析验证。登录云平台后,搜索“SSL证书”或“域名安全”相关入口,选择证书类型,输入需加密的域名,验证通过后,证书自动签发。其中免费的DV证书有效期只有90天,并且一个账号每年只能申请20张;如果不够使用可以Let’s Encrypt的证书,并且可以通过Certbot自动部署,避免频繁的过期更换证书。
如果站点需要申请以公网ip地址的SSL证书,一般来说都是收费的,如需免费的可以选择使用zerossl。
对于一些非公开访问的站点,可以使用自签名的方式,如使用mkcert 生成自签名SSL证书,同时可以通过将根证书导入操作系统证书库,解决浏览器的证书信任问题。
结语
综上,选择SSL证书首先确认签发CA机构是浏览器受信任的,其次根据自身情况选择合适的证书类型。想要个人站点和需要免费证书的选择DV证书,企业优先选择OV证书,涉及电商金融等企业的选择EV证书。
