SSL数字证书基础介绍
什么是SSL数字证书?
博客之前并没有使用HTTPS协议,在某些强制HTTPS的软件、浏览器中打开会被警告未安装可信任的SSL证书
… 这里就为博客加一下HTTPS协议顺便说一下SSL证书。
SSL证书是数字证书的一种,遵守SSL协议,由个人或者组织结构来申请,受信任的根证书颁发机构颁发。
SSL证书采用SSL协议进行通信,SSL证书部署到服务器后,服务器端的访问将启用HTTPS协议。您的网站将会通过HTTPS加密协议来传输数据,可帮助服务器端和客户端之间建立加密链接,从而保证数据传输的安全。
SSL证书的作用
被浏览器信任
安装SSL证书的网站,经过浏览器访问,可以正常直接打开,并且浏览器地址栏加锁显示:
网站数据传输加密
安装了SSL证书之后,网站的所有请求和返回数据都会经过SSL协议加密,保护网站的注册、登录、在线交易等敏感信息,阻止在传输过程中可能出现的数据泄露风险。
获客信任
加锁的网站,特别是使用高规格证书的网站,更容易获得用户的信任,同时也是企业实力的一种体现。(当然对于个人来讲没什么卵用 加锁就够了🤪)
搜索排名提升
主流的搜索引擎,例如Goole、百度,对于https网站,都会优先进行展示和排名,这将有利于网站的SEO关键词排名。
社交软件拦截
这里重点说一下腾讯的社交软件🤬!没有HTTPS的个人站点几乎都会被微信、QQ拦截。。。
SSL证书的类型划分
SSL 证书根据验证级别主要分为EV、OV、DV三种类型
扩展验证证书 (EV SSL)
这是等级最高、最昂贵的 SSL 证书类型。它倾向于用于收集数据并涉及在线支付的高知名度网站。要设置 EV SSL 证书,网站所有者必须经历标准化的身份验证过程,以确认他们已获得该域的专有权利的合法授权。EV SSL证书遵循全球统一的严格身份验证标准,是目前业界安全级别最高的顶级(Class 4级)SSL证书。常见客户主要为金融、银行等。
组织验证证书 (OV SSL)
此 SSL 证书类型具有与 EV SSL 证书类似的保证级别,这是因为,要获得此证书,网站所有者需要完成实质性的验证过程。OV SSL 证书往往是价格第二高的证书(仅次于 EV SSL),其主要目的是在交易期间对用户的敏感信息进行加密。主要用于大型的企业客户。
域验证证书 (DV SSL)
获得此 SSL 证书类型的验证过程是最简单的,因此,域验证 SSL 证书提供了较低程度的保证和最低程度的加密。它们通常用于博客、信息类网站、中小企业网站等。此 SSL 证书类型是成本最低、获取速度最快的证书,仅仅要求用户验证域名所有权即可。
SSL证书域名类型
单域名SSL证书
即证书保护的域名主要为单独(不包含赠送域名)具体域名,例如aliyun.com
域名申请单域名证书,则证书保护范围就是aliyun.com
域名,a.aliyun.com
域名就不在该类型证书保护范围内。但是大部分单域名规格都会自动赠送www.aliyun.com
,此时该单域名证书同时保护aliyun.com
和www.aliyun.com
两个域名,反之亦然,如果www.aliyun.com
主域名申请单域名证书,也会自动赠送aliyun.com
域名。以上域名赠送规则不是必然的,但适用于大部分单域名SSL证书规格中,只有个别品牌个别规格存在不赠送的情况。公网IP也可以申请单域名证书,此时该证书只包含该公网IP。
通配符SSL证书
通配符SSL证书可以在单个证书上保护匹配的所有子域名。通配符 SSL 证书的主域名中带有星号*
,其中,星号表示具有相同基本域的任何有效子域,例如*.aliyun.com
,会匹配www.aliyun.com
、a.aliyun.com
等等,但不会跨级匹配,例如不会匹配a.a.aliyun.com
、aliyun.com
等域名。如果申请的域名是主域名的通配符,一般都会自动赠送主域名,例如*.aliyun.com
,会自动赠送aliyun.com
域名。但如果申请的域名是子域名的通配符,例如*.a.aliyun.com
,此时大部分通配符规格将不会有任何赠送逻辑,只有少部分品牌的通配符规格,会自动赠送下一级的单域名,即a.aliyun.com
。
多域名SSL证书
多域证书可用于保护多个域名。如果一个证书要同时包含多级域名,或者是不同域名,或者是通配符域名和子域名混合、或者是多个通配符域名,此时都可以归类为多域名SSL证书,例如a.aliyun.com
、b.aliyun.com
、aliyun.com
、alibaba-inc.com
等。多域名SSL证书也存在域名赠送逻辑,赠送依据主要是以第一个域名(即申请的comm name
域名)为准,第一个域名为单域名,则赠送逻辑参考单域名SSL证书规格,第一个域名为通配符,则赠送逻辑参考通配符SSL证书规格。
SSL证书根据算法类型
RSA算法
应用较早,普及度高,比 ECC 算法的适用范围更广,兼容性好,一般采用2048位的加密长度,但是对服务端性能消耗相对略高,低于2048位的加密长度也可以使用,但是有些行业标准、合规规范要求至少为2048位。
ECC算法
中文名称为椭圆加密算法,新一代算法趋势主流,一般采用 256 位加密长度,加密速度快,效率更高,对服务器资源消耗低,而且重要的是更安全,抗攻击性更强。但在一些比较老旧的系统环境中存在不支持的情况,因此它的兼容性相比 RSA 要差一些。
SM2算法
也就是国密证书,由于SM2国密算法的SSL证书目前仅仅少数几款国产浏览器支持,例如红莲花、国密浏览器、360国密浏览器等,且需要相应的服务器环境支持,目前的普及程度还远远不及 RSA 和 ECC,常用在金融等合规要求的行业。
不会有人问我用的什么SSL证书吧🙄???
我用的免费证书(Let’s Encrypt)🤐
通过 Nginx Proxy Manager
托管申请+自动续期…