什麼是 SSL 證書及其工作原理

什麼是 SSL 證書？ 了解 SSL 的用途、SSL 和 TLS 之間的差別、它們的工作方式以及何時應該使用它們。

什麼是 SSL 證書？

SSL（安全套接字層）是 TLS（傳輸層安全性）的通用名稱，它是一種能夠在兩台機器之間進行加密通信的安全協定。 SSL 證書是利用此安全協定提供兩個功能的小型資料檔案：

身份驗證– SSL 證書用作驗證網站身份的憑據。在證書頒發機構（也稱為證書頒發機構 (CA)）對請求證書的組織執行嚴格的審查過程後，它們被頒發給特定的域名和 Web 伺服器。根據證書類型，它可以提供有關企業或網站身份的資訊，并驗證該網站是合法企業。

安全資料通信- 當 SSL 安裝在 Web 伺服器上時，它會使挂鎖出現在 Web 浏覽器中。它激活 HTTPS 協定并在伺服器和浏覽器之間建立安全連接配接。它允許使用加密算法将傳輸中的資料加擾成無法破譯的格式，隻能使用正确的解密密鑰讀取。

Web 浏覽器僅顯示由受信任的 CA（如 Sectigo）簽署的 SSL 安全名額。要成為受信任的 CA，公司必須遵守領先的浏覽器和稱為 CA/浏覽器論壇的行業标準機構制定的安全和身份驗證過程标準并定期進行審計。當受信任的 CA 向組織頒發證書時，浏覽器會将該證書識别為合法的。浏覽器讓使用者知道網址是安全的，使用者可以安全地浏覽網站并輸入個人資訊。

SSL 與 TLS 有什麼差別？

TLS 是 SSL 的更新版本，提供了進階加密選項，但是這兩個首字母縮寫詞通常被稱為具有相同的含義。

安全套接字層 (SSL) 是第一個為確定通過開放網際網路連接配接的伺服器的身份而建立的加密協定的名稱。該協定建立于 1995 年，旨在實作網絡上的電子商務。 SSL 2.0 是用于生産系統的第一個協定版本，很快就被 SSL 3.0 取代。在 3.0 版之後，标準機構用稱為傳輸層安全性 (TLS) 的更進階協定取代了 SSL。但是，到那時，SSL 一詞已成為常見說法，是以它繼續作為 TLS 的實際名稱繼續存在。

盡管證書本身不執行加密，但基于标準的用戶端和伺服器軟體需要存在一個才能進行加密。這一要求是對這樣一個事實的認可，即如果連接配接另一端的一方沒有可靠的身份，加密本身就無法提供保護。目前加密 TLS 會話的選項包括 RSA（Rivest-Shamir-Adleman）、ECC（橢圓曲線加密）和 DSA（數字簽名算法）。

證書類型

有不同類型的 TLS 證書可用，包括：

域名驗證 (DV)- 接收行業标準加密的最簡單且最具成本效益的方法

組織機構驗證 (OV) - 從 DV 更新，組織必須是合法注冊的企業并證明他們擁有該域名

擴充驗證 (EV)- 提供最進階别信任的商業網站的行業标準

證書的其他變體包括通配符（用于主域及其子域）和多域（用于保護多個域）。

SSL 證書的工作原理

所有數字證書都是公鑰交換或 PKI 的示例。最基本的，PKI 依賴于一對互相依賴的密鑰，一個公鑰和一個私鑰。公鑰用于加密資訊，私鑰用于解密。 SSL 的工作原理是通過可公開通路的網站提供公鑰。相比之下，私鑰在 Web 伺服器上保持安全，是以從公鑰所在的網站送出的任何資料隻能由網站所有者解密，進而建立安全的 1:1 通信。

當一個人使用 SSL 證書通路網站時，會發生“握手”以在使用者群組織之間建立安全通道，并保護在網站上送出的任何資料不被洩露。以下是握手過程實時工作的方式：

用戶端系統（例如流行的 Web 浏覽器）連接配接到使用 SSL/TLS 證書保護的伺服器。

浏覽器向伺服器發送請求以識别自己。

伺服器發回其 SSL 證書的副本，包括類型、有效期群組織詳細資訊。

浏覽器檢查它是否信任證書并将準許發送回伺服器。如果證書未安裝、未使用适當的安全協定更新或不是由浏覽器信任的 CA 頒發，使用者将在浏覽器的位址欄中看到警告消息。

伺服器發回數字簽名确認以啟動 SSL 加密會話。

浏覽器和伺服器之間共享的任何資料現在都是安全的。如果黑客攔截了通信，它将使用無法解密的密碼保持加密狀态。

用例

數以百萬計的網站使用 SSL 來保護其網站上的浏覽。 在所有網站上啟用 HTTPS 不僅讓消費者相信該網站是合法的并且可以安全地浏覽或交易，而且 Google Chrome 等領先的浏覽器也強制要求這樣做。 沒有證書的站點将在位址欄中顯示“不安全”警告。

全球網站、移動裝置和網際網路連接配接裝置的發展也擴大了其使用範圍，遠遠超出了電子商務。 任何需要通過網際網路安全地在裝置之間共享資料的人都需要 SSL 證書。 它最常用于保護：

網上信用卡交易

Web 表單和客戶登入

電子郵件和網絡郵件應用程式

通過 Intranet、檔案共享、Extranet 和内部伺服器進行企業通信

基于雲的平台和虛拟化應用程式

通過 FTP 傳輸檔案

與移動裝置之間的資料傳輸

如果網站 URL 以 HTTPS:// 開頭并且位址欄中有一個挂鎖圖示，則該網站正在使用安全的 TLS/SSL 連接配接。

好處和如何實施

安裝 SSL 證書的首要任務是啟動 Web 伺服器和浏覽器之間的安全會話。建立安全連接配接後，Web 伺服器和通路者之間傳遞的所有資訊都将保密并加密

其他 SSL 優勢：

增加客戶的信任。挂鎖向客戶保證他們的資訊不會被洩露。資料将被發送到預期的目标伺服器，并且不會被重定向到未經授權的第三方。

保護敏感資訊免受網絡釣魚攻擊。網絡釣魚網站是著名網站的欺詐性副本，其目的是誘騙您送出有價值的資訊，例如您的信用卡或社會保險号。擴充驗證證書通過在位址欄中顯示網站所有者的完整公司名稱來保護您免受網絡釣魚攻擊。由于廣泛的驗證要求，網絡釣魚站點營運商無法獲得 EV 證書。

更好的搜尋引擎排名。 HTTPS 被世界上最大的搜尋引擎之一谷歌視為排名信号。

在網站上安裝 SSL 證書有 3 個簡單的步驟：

購買由受信任的 CA 頒發的證書 - 可以從您的網絡主機購買受信任的證書，也可以直接從受信任的 CA 購買。來自受信任 CA 的證書将被通路者使用的所有流行網際網路浏覽器（Chrome、Firefox、Internet Explorer、Safari 等）識别。

激活并安裝證書 - 如果您從網絡主機購買證書，那麼他們可以為您執行此步驟。如果您自己管理站點，那麼您需要完成的兩個步驟是生成證書簽名請求 (CSR)，然後安裝您的證書。在我們的知識庫中，我們提供了一系列文檔來幫助在不同的 Web 伺服器軟體上完成這兩項任務。

将您的整個站點轉換為 HTTPS - 在目标頁面上安裝證書後，修改您的站點，以便安全地提供所有内容。