SSL证书原理以及选购参考
SSL证书原理以及选购参考
随着互联网的发展,网站安全问题日益凸显。为了解决数据传输过程中的安全问题,HTTPS协议应运而生。本文将为您详细介绍HTTPS的发展历程、SSL证书的分级分类以及申请流程,帮助您为自己的网站选择合适的SSL证书。
一、HTTP到HTTPS的发展史
最早域名传输数据时使用的是HTTP超文本传输协议,但是HTTP传输时是明文传输,明文数据在传输过程中会经过中间代理服务器、路由器、WiFi热点、通信服务运营商等多个物理节点,如果信息在传输过程中被劫持,则会造成信息泄露问题,同时劫持者还可以篡改传输的信息且不被双方察觉,这就是中间人攻击。
1. 保密性:保障数据传输过程中的加密
所以啊!我们需要对传输的数据进行加密,保障保密性这个安全目标。加密有多种方式,常见的就是对称加密和非对称加密,对称加密有密钥被泄露的风险,非对称加密又耗时太久,所以HTTPS采用了两者结合的方式——混合加密。
过程是这样,上图!
- 客户端向服务器发起请求
- 服务器生成非对称加密的公钥A、私钥A’
- 服务器把公钥A明文给传输客户端
- 客户端进行验证,如果公钥与数字证书中的公钥不符则告警;符合则生成随机key。
- 客户端将key加密后传输给服务器
- 服务器用私钥A’解密得到key,使用key加密数据
- 服务器将加密后的数据传输给客户端
- 客户端使用key解密数据
2. 完整性:保障数据传输过程中不被篡改
但是由于公钥是明文传输的,也存在被中间人替换的风险,那么怎么证明该公钥就是服务器自己的公钥呢?这就需要有个可靠的“道上”公认的老大哥,对我们做个审核并且公证一下!这就是CA机构。
CA机构经过验证给网站颁发“身份证”,也就是数字证书。数字证书中会显示对应的证书持有者信息,证明该公钥对应该网站。也就一定程度上保障了网站的完整性。
3. 可用性:保障业务系统的持续可服务性
这个可用性的安全目标,通常是公司内部去默默完成的,但是对于面向用户,特别是需要在网站上进行交易操作的网站来说,网站证明自己的可靠就尤为重要。企业可以怎么向用户证明,我是一个可靠的公司而不是一个小卡拉米呢?这就需要在选择SSL证书时,选择可以提供可信身份证明级别的证书,代表着在数字证书中表明:“我已经被CA审核验证过啦,我的公司是xxxx,我是可靠的!”
okk,到这里我们基于CIA了解了HTTPS保障目前web传输安全的过程,那么接下来问题来了,怎么给自己的网站加上这个尊贵可靠的"s"呢?先别急!SSL证书有一些分类分级,我们先来了解一下对应的区别。
二、SSL证书的分级分类
1. SSL的三个级别
目前主流的分为三个级别的证书,下面简单描述一下区别:
DV(Domain Validation)证书
仅验证域名所有权,验证速度快,价格便宜,适合个人网站或小型网站。
OV(Organization Validation)证书
除了验证域名所有权外,还需要验证组织信息,安全性更高,适合企业网站。
EV(Extended Validation)证书
最高级别的证书,需要严格验证企业信息,地址,联系方式等,浏览器会显示绿色地址栏和公司名称,适合银行,电商等高安全要求的网站。
2. SSL的分类
我们正确的选择了适合自己的证书后,还需要了解什么是适合我们的SSL类型
单域名SSL证书
适合只有1个域名,以后也不会再增加其他域名。
通配符SSL证书
适合有多个子域名,可以保护一个主域名下任意二级子域名,节约了大量的时间和金钱成本。
多域名SSL证书
适合有多个不同的主域名,而且以后还会新增其他域名,允许在一个证书上保护多个完全限定域名。
三、SSL证书申请流程
Step1:选择自己适合的SSL证书级别及类型后,在线生成CSR文件(同时也会生成密钥KEY文件),提交订单的同时会将CSR文件一起提交到CA机构。
Step2:CA机构在收到申请之后会进行验证。DV证书只需验证域名,验证通过就会收到CA机构发送给域名管理员的邮件,打开邮件并点击确认即可完成邮件验证,所以会比较快。OV或EV证书还需要对企业相关电子信息进行验证,基本是人工审核,需要1-5个工作日。
Step3: CA机构的验证通过之后就会颁发证书了,用户可在申请的平台中自行下载,然后部署在服务器上以及CDN上,这就完成了所有的操作步骤。具体配置的流程涉及各家公司使用的平台不同,流程也比较长,可以另行搜索。
注意:下载证书时需要根据自己服务器的类型下载,其中.key密钥文件是放在服务器端的,public和chain证书我们需要在稍后进行合并(因为很多验证平台是要求pem格式的)。
如有记录的不确切的地方,还请师傅们多指点!!!