什么是 SSL 证书？- 安装SSL，网络安全

SSL 证书是一个数字证书，用于认证网站的身份并启用加密连接。SSL 代表安全套接字层，这是一个安全协议，可在 Web 服务器和 Web 浏览器之间创建加密链接。

公司和组织需要在其网站上添加 SSL 证书，以保护在线交易并保持客户信息的私密性和安全性。

简而言之：SSL 可确保互联网连接的安全，并防止犯罪分子读取或修改两个系统之间传输的信息。如果您在地址栏中的 URL 旁看到一个挂锁图标，则表示 SSL 在保护您正在访问的网站。

自 SSL 协议在约 25 年前发布以来，已经有多个版本问世，所有这些版本在某些时候都会遇到安全性方面的难题。随后出现了经过修改和重命名的版本 - TLS（传输层安全性），至今仍在使用。但是，首字母缩写 SSL 早已深入人心，因此该协议的新版本通常仍在使用这一旧名称。

延展阅读：重大事件 | 2025年SSL证书政策发生巨大变化

ssl-不安全.png

ssl-不安全02.png

SSL 证书如何工作？

SSL 的原理是确保用户和网站之间或两个系统之间传输的任何数据始终无法被读取。它使用加密算法对传输中的数据进行加密，从而防止黑客读取通过连接发送的数据。该数据包括潜在的敏感信息，例如姓名、地址、信用卡号或其他财务详细信息。

该过程如下所示：

浏览器或服务器尝试连接到使用 SSL 保护的网站（即 Web 服务器）。
浏览器或服务器请求 Web 服务器证明自己的身份。
作为响应，Web 服务器向浏览器或服务器发送它的 SSL 证书的副本。
浏览器或服务器检查以了解是否信任 SSL 证书。如果信任，它将向 Web 服务器发出信号。
然后，Web 服务器返回经过数字签名的确认，以启动 SSL 加密会话。
加密数据在浏览器或服务器与 Web 服务器之间共享。

此过程有时称为“SSL 握手”。虽然这个过程听起来似乎很漫长，但实际发生时只有几毫秒。

当网站具备 SSL 证书保护时，首字母缩写 HTTPS（代表安全超文本传输协议）会显示在 URL 中。如果没有 SSL 证书，则只会显示字母 HTTP（即没有代表安全的 S）。URL 地址栏中也会显示一个挂锁图标。这表示信任，并向那些访问该网站的人提供了保证。

要查看 SSL 证书的详细信息，可以单击浏览器栏中的挂锁符号。SSL 证书中通常包括的详细信息包括：

针对其颁发证书的域名
颁发给哪个人、组织或设备
哪个证书颁发机构颁发了证书
证书颁发机构的数字签名
关联的子域
证书的颁发日期
证书的到期日期
公钥（不公开私钥）

SSL 证书的工作原理：以 “握手” 建立加密连接

SSL（Secure Sockets Layer，安全套接层）及其继任者 TLS（Transport Layer Security，传输层安全）的核心作用，是通过身份验证和加密算法，确保客户端（如浏览器）与服务器之间的通信数据无法被第三方窃取或篡改。这一过程的关键步骤被称为 “SSL 握手”，具体流程如下：

客户端发起连接请求（“打招呼”）
当客户端（如浏览器）试图访问一个启用 SSL/TLS 的网站（网址以 https:// 开头）时，会先向服务器发送 “客户端问候” 信息，包括：
- 客户端支持的 SSL/TLS 协议版本（如 TLS 1.3）；
- 客户端可使用的加密算法套件（如 ECDHE 密钥交换 + AES 加密）；
- 一个随机生成的 “客户端随机数”（用于后续加密密钥的计算）。
服务器回应并提供身份凭证
服务器收到请求后，返回 “服务器问候” 信息，确认双方将使用的协议版本和加密套件，并生成一个 “服务器随机数”（同样用于后续密钥计算）。
同时，服务器会向客户端发送自己的 SSL 证书（由可信的 CA 机构颁发），证书中包含：
- 服务器的域名（确保访问的是目标网站，防止 “钓鱼”）；
- 服务器的公钥（用于加密后续数据）；
- 颁发机构（CA）的数字签名（证明证书的合法性）。
客户端验证证书合法性
客户端（浏览器）会自动检查服务器提供的 SSL 证书是否可信：
- 验证证书是否由浏览器内置的 “可信 CA 列表” 中的机构颁发；
- 检查证书是否在有效期内，以及域名是否与当前访问的网站匹配；
- 通过 CA 的公钥解密证书中的数字签名，确认证书未被篡改（若签名验证失败，浏览器会提示 “证书无效”）。
  若证书可信，客户端会继续下一步；若不可信，浏览器会向用户发出警告（如 “此网站的安全证书有问题”）。
双方协商对称加密密钥
由于公钥加密（非对称加密）效率较低，握手的核心目的之一是协商出一个双方共享的 “对称加密密钥”（用于后续实际数据传输），过程如下：
- 客户端生成一个 “预主密钥”（Premaster Secret），并用服务器证书中的公钥加密后发送给服务器；
- 服务器收到后，用自己的私钥（仅服务器持有，不可泄露）解密，得到 “预主密钥”；
- 客户端和服务器分别使用之前交换的 “客户端随机数”“服务器随机数” 和 “预主密钥”，通过约定的算法计算出相同的对称加密密钥（称为 “会话密钥”）。
确认加密会话建立
客户端和服务器分别向对方发送一条用新生成的会话密钥加密的 “完成消息”，确认已成功计算出相同的密钥。
至此，SSL 握手完成（整个过程仅需几毫秒），后续客户端与服务器之间的所有通信数据，都会用这个会话密钥进行加密和解密（对称加密），确保数据传输的机密性和完整性。

“握手” 的本质, SSL 握手的过程就像 “双方通过证件确认身份，并约定一个只有彼此知道的暗号”：

证书是服务器的 “身份证”，由权威机构（CA）背书，确保客户端连接的是真实服务器；
密钥协商是 “约定暗号” 的过程，最终的会话密钥仅客户端和服务器知晓，第三方无法破解，从而实现数据的安全传输。

因此，“握手” 这一表述形象且准确，生动体现了双方建立信任和加密规则的互动过程。

为什么需要 SSL 证书

网站需要 SSL 证书来确保用户数据的安全，验证网站的所有权，防止攻击者创建虚假网站版本，以及将信任传达给用户。

如果网站要求用户登录、输入个人详细信息（例如其信用卡号）或查看机密信息（例如，健康福利或财务信息），则必须对数据保密。SSL 证书有助于保持在线互动的私密性，并向用户保证该网站是真实可靠的，可以与其共享私密信息。

与企业更相关的事实是，HTTPS Web 地址需要 SSL 证书。HTTPS 是 HTTP 的安全形式，这意味着 HTTPS 网站的流量通过 SSL 进行了加密。大多数浏览器将 HTTP 网站（没有 SSL 证书的网站）标记为“不安全”。这向用户发出了一个明确的信号，即该网站可能不值得信任，这有助于敦促尚未迁移到 HTTPS 的企业执行迁移。

SSL 证书有助于保护信息，例如：

登录凭据
信用卡交易或银行账户信息
个人身份信息 - 例如全名、地址、出生日期或电话号码
法律文档和合同
病历
专有信息

SSL 证书的类型

有不同类型的 SSL 证书，具有不同的验证级别。六种主要类型包括：

扩展验证证书 (EV SSL)
组织验证证书 (OV SSL)
域验证证书 (DV SSL)
通配符 SSL 证书
多域 SSL 证书 (MDC)
统一通信证书 (UCC)

扩展验证证书 (EV SSL)

这是等级最高、最昂贵的 SSL 证书类型。它倾向于用于收集数据并涉及在线支付的高知名度网站。安装后，此 SSL 证书在浏览器地址栏上显示挂锁、HTTPS、企业名称和国家/地区。在地址栏中显示网站所有者的信息有助于将网站与恶意网站区分开。要设置 EV SSL 证书，网站所有者必须经历标准化的身份验证过程，以确认他们已获得该域的专有权利的合法授权。

组织验证证书 (OV SSL)

此 SSL 证书版本具有与 EV SSL 证书类似的保证级别，这是因为，要获得此证书，网站所有者需要完成实质性的验证过程。此类型的证书也会在地址栏中显示网站所有者的信息，以区别于恶意网站。OV SSL 证书往往是价格第二高的证书（仅次于 EV SSL），其主要目的是在交易期间对用户的敏感信息进行加密。商业或面向公众的网站必须安装 OV SSL 证书，以确保共享的任何客户信息都得到保密。

域验证证书 (DV SSL)

获得此 SSL 证书类型的验证过程是最简单的，因此，域验证 SSL 证书提供了较低程度的保证和最低程度的加密。它们通常用于博客或信息类网站，即，不涉及数据收集或在线支付的网站。此 SSL 证书类型是成本最低、获取速度最快的证书之一。验证过程仅要求网站所有者通过答复电子邮件或电话来证明域所有权。浏览器地址栏仅显示 HTTPS 和一个挂锁，没有显示公司名称。

通配符 SSL 证书

通配符 SSL 证书使您可以在单个证书上保护基本域和无限的子域。如果您有多个要保护的子域，那么，购买通配符 SSL 证书要比为每个子域购买单独的 SSL 证书便宜得多。通配符 SSL 证书的公用名中带有星号 *，其中，星号表示具有相同基本域的任何有效子域。例如，*网站的单个通配符证书可用于保护：

yourdomain.com
yourdomain.com
yourdomain.com
yourdomain.com
yourdomain.com

多域 SSL 证书 (MDC)

多域证书可用于保护许多域和/或子域名。这包括完全唯一的域和具有不同 TLD（顶级域）的子域（本地/内部域除外）的组合。

例如：

example.com
org
this-domain.net
anything.com.au
example.com
example.org

默认情况下，多域证书不支持子域。如果您需要使用一个多域证书来保护 www.example.com 和 example.com，那么，在获取证书时，应同时指定两个主机名。

统一通信证书 (UCC)

统一通信证书 (UCC) 也被视为多域 SSL 证书。UCC 最初的设计意图是保护 Microsoft Exchange 和 Live Communications 服务器。如今，任何网站所有者都可以使用这些证书，以允许在一个证书上保护多个域名。UCC 证书经过组织验证，并在浏览器上显示挂锁。UCC 可以用作 EV SSL 证书，它会显示为绿色的地址栏，为网站访问者提供最高等级的保证。

您必须熟悉不同类型的 SSL 证书，以便为您的网站获取正确的证书类型。

如何获得 SSL 证书

SSL 证书可以直接从证书颁发机构 (CA) 获取。证书颁发机构（有时也称为认证颁发机构）每年颁发数百万个 SSL 证书。在确保互联网正常运行以及在线实现透明、可信任的交互的过程中，他们起着至关重要的作用。

SSL 证书的费用从免费到数百美元不等，具体取决于所需的安全级别。一旦确定了所需的证书类型，便可以查找证书颁发机构，颁发机构可提供所需级别的 SSL。

获取 SSL 涉及以下步骤：

在准备过程中，设置服务器并确保您的 WHOIS 记录已更新并与您提交给证书颁发机构的内容相匹配（它需要显示正确的公司名称和地址等信息）。
在您的服务器上生成证书签名请求 (CSR)。您的托管公司可以协助您执行此操作。
将此请求提交给证书颁发机构，以验证您的域和公司详细信息
此过程完成后，安装他们提供的证书。

获得证书后，则需要在 Web 主机或自己的服务器（如果您自己托管网站）上配置证书。

收到证书的速度取决于获得的证书类型以及从哪个证书提供商那里购买证书。每个级别的验证所需的时长不同。简单的域验证 SSL 证书可以在订购后的几分钟内颁发，而扩展验证证书则需要长达整整一周的时间。

SSL 证书可以在多台服务器上使用吗？

同一服务器上的多个域可以使用一个 SSL 证书。根据具体供应商的不同，您还可以在多个服务器上使用一个 SSL 证书。这是因为我们在上面讨论过的多域 SSL 证书。

顾名思义，多域 SSL 证书可用于多个域。数量取决于特定的证书颁发机构。多域 SSL 证书与单域 SSL 证书不同，顾名思义，单域 SSL 证书旨在保护单个域。

不过可能会让您困惑的是，您可能听说过多域 SSL 证书也称为 SAN 证书。SAN 代表主题备用名称。每个多域证书都有附加字段（即 SAN），您可以使用这些字段列出要包含在一个证书下的附加域。

统一通信证书 (UCC) 和通配符 SSL 证书也允许包含多个域，在后一种情况下，可以包含不限数量的子域。

SSL 证书过期会怎样？

SSL 证书会过期；它们不会永远保持有效。作为 SSL 行业事实上的监管机构，证书颁发机构/浏览器论坛规定，SSL 证书按年续费。

SSL 证书定期重新验证信息。之所以会到期，是因为与任何形式的身份验证一样，需要定期重新验证信息，以检查其是否仍然准确。公司和网站不时会有转手买卖，互联网上的事物也会发生变化。当它们易手时，与 SSL 证书有关的信息也会改变。有效期的目的是确保用于认证服务器和组织的信息尽可能最新和准确。

以前，可以颁发有效期长达五年的 SSL 证书，随后缩减为三年，最近缩减为两年，外加可能延长的三个月。2020 年，Google、Apple 和 Mozilla 宣布将实施为期一年的 SSL 证书，尽管该建议已被证书颁发机构浏览器论坛投票否决。但这项决定仍从 2020 年 9 月开始生效。将来，有效期还可能会进一步缩短。

如果网站的 SSL 证书过期，那么用户就无法访问该网站。当用户的浏览器到达网站时，它会用数毫秒时间检查 SSL 证书的有效性（作为 SSL 握手的一部分）。如果 SSL 证书已过期，则访问者将收到一条消息，表示“此网站不安全。继续访问将面临潜在风险”。

尽管用户可以选择继续访问，但鉴于涉及的网络安全风险（包括恶意软件的可能性），不建议这样做。对于网站所有者来说，这会大大影响跳出率，因为用户会快速离开其主页并转到其他位置。

对于大型企业来说，监控 SSL 证书的过期时间是一项艰巨挑战。中小型企业 (SME) 可能只需管理一个或几个证书，而可能跨市场交易的企业级组织（具有大量网站和网络）将拥有更多的证书。在此级别上，需要通过监督来管理 SSL 证书的过期，而不是因为无能而听之任之。对于大型企业而言，最好的方法是使用证书管理平台来监控 SSL 证书的过期时间。市场中有各种产品，您可以使用在线搜索找到这些产品。这些产品使企业可以在整个基础架构中查看和管理数字证书。如果您在使用这些平台之一，则必须定期登录，这样您就可以知道何时需要续订。

如果您允许证书过期，则证书将失效，并且您将不再能够在您的网站上运行安全交易。证书颁发机构 (CA) 会提示您在到期日期之前续订 SSL 证书。

无论您使用哪个证书颁发机构或 SSL 服务以获取 SSL 证书，他们都将按设置的时间间隔（通常从 90 天开始）向您发送过期通知。尝试确保这些提醒发送给电子邮件通讯列表 - 而不是个人，后者在发送提醒时可能已经离开公司或移任其他职位。考虑一下您公司中的哪些利益相关者在此通讯列表中，以确保合适的人在正确的时间看到提醒。

如何判断网站是否具有 SSL 证书

查看网站是否具有 SSL 证书的最简单方法是查看浏览器中的地址栏：

如果 URL 以 HTTPS（而不是 HTTP）开头，则意味着该网站使用 SSL 证书进行了安全保护。
安全网站显示了一个闭合挂锁标志，您可以单击该标志以查看安全详细信息 - 最值得信赖的网站将带有绿色的挂锁或地址栏。
当连接不安全时，浏览器还会显示警告标志，例如红色挂锁、未闭合的挂锁、穿过网站地址的直线或挂锁标志上的警告三角形。

如何确保您的在线会话安全

仅将您的个人数据和在线支付详细信息提交给具有 EV 或 OV 证书的网站。DV 证书不适用于电子商务网站。您可以通过查看地址栏来判断网站是否具有 EV 或 OV 证书。对于 EV SSL，组织名称将在地址栏中显示。对于 OV SSL，您可以通过单击挂锁图标来查看组织名称的详细信息。对于 DV SSL，仅挂锁图标可见。

阅读网站的隐私政策。这使您可以查看网站会如何使用您的数据。合法公司将开诚布公地说明他们如何收集您的数据以及如何处理您的数据。

在网站上寻找信任信号或指标。
除 SSL 证书外，这些信号还包括信誉良好的徽标或徽章，它们表明网站符合特定的安全标准。其他可以帮助您确定网站是否真实的手段包括检查实际地址和电话号码，检查网站的退货或退款政策，以及确保价格可信，且不会优惠到难以置信。

警惕网络钓鱼诈骗。
有时，网络攻击者会创建模仿现有网站的网站，以诱骗人们购买某些产品或登录网络钓鱼网站。网络钓鱼网站可以获取 SSL 证书，从而对在您和该网站之间流动的所有流量进行加密。越来越多的网络钓鱼诈骗发生在 HTTPS 网站上 - 欺骗了那些因挂锁图标的存在而感到放心的用户。

要避免此类攻击：

始终检查您所在的网站的域名，并确保其拼写正确。假冒网站的 URL 可能只相差一个字符，例如com，而不是 amazon.com。如有疑问，请直接在浏览器中键入域名，以确保连接到您需要访问的网站。
除非您确定网站的真实性，否则切勿在网站上输入登录名、密码、银行凭据或任何其他个人信息。

请始终谨慎考虑某个特定网站提供的内容、它是否看起来可疑以及您是否真的需要在该网站上注册。
确保设备受到良好保护：会根据大型网络钓鱼网站数据库检查 URL，并且能有效监测到欺诈 - 不论资源表面看起来有多“安全”。

网络安全风险在继续演变，但是，通过了解要寻找的 SSL 证书类型以及如何将安全网站与潜在危险网站区分开，将有助于互联网用户避免欺诈并保护其个人数据免受网络罪犯侵害。