SSL证书,是经WebTrust认证的知名CA(Certificate Authority)机构颁发给网站的可信凭证,具有网站身份验证和加密传输双重功能。SSL证书基于SSL(Secure Sockets Layer)协议实现,指定了在应用程序协议(如HTTP、Telnet、FTP)和TCP/IP之间提供数据安全性分层的机制。它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户端认证。
实现原理介绍
SSL证书的加密过程
SSL协议通过非对称加密认证身份与对称加密传输数据的混合机制实现安全通信。其核心流程分为证书生成和验证与构建加密会话两个阶段:
证书生成和验证
服务器向CA申请证书时,首先生成RSA 2048位或ECC 256位的密钥对,将公钥、域名、企业信息等打包为CSR请求。
CA通过域名所有权验证(DNS解析/文件验证)后,用自身私钥对服务器公钥进行数字签名,生成标准证书。该签名形成信任链:根证书→中间证书→服务器证书,浏览器逐级验证防止伪造。
构建加密会话
在TLS握手中,客户端发送ClientHello消息以启动握手过程,包含支持的密码套件列表、随机数等。
服务器响应ServerHello,选择密码套件,并发送其证书链。
客户端验证证书的有效性,包括域名匹配、有效期和吊销状态检查(例如OCSP)。
客户端生成一个预主密钥,用服务器的公钥加密后发送给服务器。
双方使用预主密钥和各自的随机数,通过密钥交换机制(例如ECDHE或DHE)推导出会话密钥。
后续通信使用对称加密(如AES)进行,以提高性能并降低计算开销。
SSL证书采用公钥体制,即利用一对相互匹配的密钥对,使用RSA、ECC、SM2等算法,对数据加密和解密。更多信息,请参见根据证书加密算法选择证书和什么是公钥和私钥?。
场景与用途
未部署SSL证书的网站如同在互联网中“裸奔”:所有数据传输均为明文,攻击者可轻易通过公共WiFi、网络嗅探等手段截获用户密码、银行卡号等敏感信息,典型案例如电商支付页面遭中间人攻击导致资金盗刷。浏览器会标记此类站点为不安全,直接造成流量流失。同时,未加密通信可能违反多项全球法规,企业可能面临高额罚款,并失去在金融、医疗等行业的合规准入资格。
启用SSL证书后,通过混合加密机制构建的安全通道,即使数据被截获,破解也是极其困难且耗时的,需要耗费巨大的计算资源和时间。浏览器地址栏显示锁型图标或企业名称(EV证书),用户信任度提升,显著提高网站的信任度。法律上,SSL证书满足等保2.0、PCI DSS等20余项国际认证,规避法律风险。
证书使用流程说明
SSL证书购买
阿里云提供三种类型的SSL证书供选择:DV证书、OV证书和EV证书。在证书品牌方面,阿里云支持多个可信赖的证书颁发机构(CA),包括DigiCert、GlobalSign和GeoTrust等。这些机构提供多种SSL证书类型,如单域名证书、通配符证书和多域名证书。您可以依据网站的具体需求和安全要求有关选择证书的品牌与类型。证书的获取方式,请参见购买正式证书或购买个人测试证书。
SSL证书创建与申请
证书签发流程包含创建证书、申请证书和域名所有权验证。
SSL证书部署
一旦SSL证书获得批准并颁发,便可进行部署。证书部署将SSL证书安装至服务器上,以确保网站通过HTTPS协议进行安全通信。部署步骤可能因服务器类型及托管环境的不同而有所变化,常见的服务器包括Apache、Nginx和IIS等。请参见部署SSL证书。
证书后续操作
证书续费
SSL证书续费是指在现有的SSL证书即将到期时,通过重新申请和安装新的SSL证书来继续保持网站的加密连接和安全性。SSL证书通常有固定的时长,最长有效期为397天,即约13个月,到期后如果不续费,网站将面临安全风险,可能会出现浏览器的安全警告,从而影响用户信任和访问。请参见SSL正式证书续费。
SSL证书吊销
如果您出于安全或其他方面的考虑,决定不再使用已签发的SSL证书,您可以选择将其吊销。吊销证书意味着从CA(证书颁发机构)处注销该证书,从而确保其不再被用于安全通信。请参见吊销和删除SSL证书。
证书的品牌与类型
阿里云SSL证书服务支持购买多种品牌与类型。购买时需要考虑部署场景、证书类型、安全等级、价格等因素,请参见SSL证书选购指引。
证书类型
阿里云支持购买DV证书、OV证书和EV证书三种类型的SSL证书。不同类型证书的安全性、支持的证书品牌和适用的网站类型不同,具体如下表所示。
证书类型 | 适用网站类型 | 公信等级 | 认证强度 | 安全性 | 审核方式及资料 | 平均签发时间 | 支持的证书品牌 |
证书类型 | 适用网站类型 | 公信等级 | 认证强度 | 安全性 | 审核方式及资料 | 平均签发时间 | 支持的证书品牌 |
DV(域名型) | 适用于个人网站、App服务、展示型网站、企业测试或个人测试网站。 如果您的网站主体是个人(即没有企业营业执照),只能申请个人测试证书或DV型数字证书。 | 一般 | CA机构审核个人网站真实性、不验证企业真实性 | 一般 | 通过DNS验证。仅需提交域名即可。 | 1~15分钟 |
|
OV(企业型) | 适用于政府组织、中小型企业或教育机构等。 对于一般企业、移动端网站或接口调用,建议购买OV及以上类型的数字证书。 | 高 | CA机构审核组织及企业真实性 | 高 | 邮件或电话。需提交验证域名、公司信息、营业执照等。 | 5个自然日 |
|
EV(企业增强型) | 适用于大型企业、金融机构、电商等涉及交易支付和隐私数据的高私密网站。 对于金融、支付类企业,建议购买EV型证书。 | 最高 | 严格认证 | 最高 | 邮件或电话。需提交验证域名、公司信息、营业执照等。
| 5个自然日 |
|
证书品牌
SSL证书支持的多个证书品牌如下表所示。
分类 | 证书品牌 | 说明 | 优势 |
分类 | 证书品牌 | 说明 | 优势 |
国际 | DigiCert | Digicert(原Symantec)是全球领先的数字证书颁发机构(CA),值得信赖的SSL证书品牌。 |
|
RapidSSL | RapidSSL是DigiCert旗下的子品牌,前身GeoTrust DV证书,于2022年01月下旬证书更名为RapidSSL,详情请参见【变更】关于GeoTrust DV证书名称变更的通知。 |
| |
GeoTrust | Geotrust品牌是DigiCert(原Symantec)旗下子品牌,全球第二大数字证书颁发机构(CA)。 |
| |
GlobalSign | GlobalSign是较早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。天猫、淘宝等大型电商网站采用了GlobalSign品牌证书。 |
| |
国产 | CFCA | 中国金融认证中心(CFCA)通过了国际WebTrust认证,遵循全球统一鉴证标准,是国际CA浏览器联盟的组织成员,可满足政府/金融等行业对SSL证书国产化的相关要求。 |
CFCA证书目前不支持iOS 10.1及10.1以前的版本,不支持安卓6.0及以前的版本。 |
vTrus | vTrus是一个国产证书品牌,满足企业采购国产品牌SSL证书的需求。 |
| |
WoSign | WoSign是一个国产证书品牌,满足企业采购国产品牌SSL证书的需求。 |
|
- 本页导读 (1)
- 实现原理介绍
- SSL证书的加密过程
- 场景与用途
- 证书使用流程说明
- SSL证书购买
- SSL证书创建与申请
- SSL证书部署
- 证书后续操作
- 证书的品牌与类型
- 证书类型
- 证书品牌
