SSL证书详解-优快云博客

什么是SSL证书？

　　SSL证书是一个计算机数字文件（或一小段代码），具有两种特定功能：

校验和验证：SSL证书中具有与特定明细的真实性相关的信息，可以证实某人、公司或网站的身份，当网站的访问者单击浏览器中的挂锁符号或信任标记时，例如，Norton Secured Seal (诺顿安全认证签章)，将显示这些信息。在证书颁发机构CA用于确定是否应发放SSL证书的审核标准中，扩展验证（Extended Validation，EV）SSL证书最为严格，使其成为目前可用的最可信SSL证书。
数据加密：SSL证书还实现了加密功能，这意味着，除了目标接收方之外，其他任何人无法截获通过网站交换的敏感信息。

　　就像个人身份文件或护照只能由国家政府官员发放一样，由可信证书颁发机构（Certificate Authority，CA）颁发的SSL证书最可靠。在是否能够接收SSL证书的判定方面，CA必须遵循非常严格的规则和策略。当您从可信CA获得了有效的SSL证书后，您的用户、客户或合作伙伴就会对您更加信任。

　　 SSL是“Secure Socket Layer（安全套接字层）”的缩写。这是一种在访问者的网络浏览器与您的网站之间建立安全会话链路的技术，通过此链路传输的通信均进行加密，从而确保其安全。SSL也用于传输安全电子邮件、安全文件和其他形式的信息。SSL为您创建了安全私密的通信通道。

SSL证书加密如何工作？

　　就像用钥匙开门关门一样，加密使用密钥来锁定和取消锁定信息。除非具有正确的密钥，否则将无法“打开”信息。

每个SSL证书会话包含两个密钥：

公钥用于加密（加扰）信息。
私钥用于解密（解扰）信息，并将其还原为原始格式以便阅读。

流程：颁发给经过CA检验的实体的每个SSL证书都针对特定服务器和网站域（网站地址）。用户使用浏览器导航到具有SSL证书的网站地址时，浏览器与服务器之间将进行SSL握手（问候）。从服务器发出信息请求，然后显示在用户的浏览器窗口中。您将注意到会发生变化（例如，显示信任标记），用于指示安全会话已启动。如果单击该信任标记，则会看到其他信息，例如SSL证书的有效期、所保护的域、SSL证书的类型以及颁发证书的CA。所有这些表明该会话已使用唯一会话密钥建立安全链路，可以开始安全地交流。

如何确认网站具有有效的SSL证书？

在浏览器地址栏中，不支持SSL安全功能的标准网站显示的网站地址以“http://”开头。这个标记表示“超文本传输协议”，是互联网上最常见的信息传递方式。而使用SSL证书进行保护的网站将在地址前显示“https://”。代表“安全HTTP”。
在互联网浏览器顶部或底部（具体取决于您使用的浏览器）还将显示挂锁符号。
您经常还会发现网站本身也会显示信任标记。赛门铁克客户会在其网站上使用诺顿安全认证签章信任标记。当您单击页面上的诺顿安全认证签章或挂锁符号时，它将显示证书的详细信息，其中提供了经过CA验证和校验的所有公司信息。
单击浏览器窗口中锁上的挂锁或特定SSL信任标记，例如诺顿安全认证签章，网站访问者将看到经过身份验证的公司名称。在高安全性的浏览器中，如果检测到扩展验证EV SSL证书，经过验证的组织名称将醒目显示，地址栏变成绿色。如果信息不符，或者证书已失效，则浏览器将显示错误消息或警告。

在哪里可以使用SSL证书？

　　这个问题的答案很简单，您可以在任何希望安全传输信息的地方使用SSL证书。

　　下面是一些例子：

为您的网站与客户的互联网浏览器之间的通信提供保护。
为您的企业内部网上的内部通信提供保护。
为您的网络（或私人电子邮件地址）上收发的电子邮件通信提供保护。
为在服务器（内部和外部）之间传递的信息提供保护。
为通过移动设备发送和接收的信息提供保护。

SSL证书有哪些类型？

　　当今市场上提供了多种不同的SSL证书。

SSL证书的第一种类型是自签名的证书。顾名思义，这是一种供内部使用而生成的证书，并非由CA颁发。由于这是网站所有者自己生成的证书，其分量无法等同于由CA颁发的经过全面验证和校验的SSL证书。
域验证证书，这是一种视为入门级的SSL证书，可以快速颁发。这种证书只进行一项检查，即确保申请者拥有计划使用证书的域（网站地址）。至于该域的拥有者是否为有效的业务实体，则不进行任何附加检查。
经过全面身份验证的 SSL证书，是实现真正的在线安全和构建信任的第一步。这些证书的颁发时间略长，公司只有通过了多项验证程序并且进行检查以确认存在业务、具有该域的所有权并且用户具有申请证书的权限后，才会授予证书。所有Symantec赛门铁克SSL证书均经过全面身份验证。
虽然SSL证书可以支持128位或256位加密，但是一些较早的浏览器和操作系统仍无法在此安全级别下连接。使用名为服务器门控加密 (SGC) 技术的SSL证书，能够为超过 99.9% 的网站访问者提供128位或256位加密。如果网络服务器上没有SGC证书，则不支持128位强加密的浏览器和操作系统将只接收40位或56位加密。对于使用某些较早浏览器和操作系统的用户而言，如果他们访问的网站具有启用SGC的SSL证书，则可以临时提高为128位SSL加密。（有关 SGC 的详细信息，请访问TrustAsia亚洲诚信了解。）
域名通常会与多种不同的主机后缀一起使用。为此，您可以采用通配符证书，这样便可以为域中的所有主机提供全面的SSL安全性，例如，host.your_domain.com（其中“host”可以改变，但域名保持不变）。
SAN（主题备用名称，Subject Alternative Name）SSL证书与通配符证书类似，但应用更广泛，可以在一个SSL证书中添加多个域。
代码签名证书经过专门设计，用于确保您下载的软件在传输途中不会被篡改。许多网络罪犯篡改通过互联网提供下载的软件。他们会在下载的无害程序包中附加病毒或其他恶意软件。这些证书可以确保不会出现此情况。
扩展验证EV SSL证书提供了业内最严格的身份验证标准，为客户带来了现有最好的信任级别。个人用户在访问采用EV SSL证书保护的网站时，浏览器地址栏会变为绿色（在高度安全的浏览器中），并且会显示一个特殊的字段，其中包含合法网站所有者名称以及颁发EV SSL证书的安全提供商名称。它还会在地址栏中显示证书持有者的名称和颁发证书的CA。这种直观的方式有助于提升个人用户对电子商务的信心。