安全套接字层(SSL)证书会导致您的浏览器显示挂锁图标,表明您与网站的连接是安全的。尽管挂锁可能很快就会被隐藏起来,但证书不会去任何地方。
让我们从一些定义开始并解释一些术语。
在严格的技术层面上,SSL实际上已在多年前被传输层安全性(TLS)取代,但这个名称一直存在。因此,在本文中,我们将使用SSL来指代整个SSL/TLS协议系列。
SSL证书是一种用于在服务器和客户端(例如网站和浏览器,或一对电子邮件服务器)之间建立加密连接的安全技术。SSL证书是一种验证网站身份并启用加密连接的数字证书。
SSL证书的用途是什么?
SSL证书有两个重要用途:
身份验证。它验证您正在与之交谈的计算机的身份。
隐私,它确保两台计算机之间的连接是加密的。
在网络上,SSL证书可以让网站的连接更加值得信赖:您正在与证书中标识的网站交谈,没有人在监听或篡改您之间的通信。当您交换信用卡详细信息或密码等私人信息时,这一点尤其重要。
它不会使网站更值得信赖,只是它与您之间的沟通。并非每个拥有SSL证书的网站都值得信任。网络钓鱼网站等恶意网站可以拥有SSL证书,您可以使用SSL与恶意网站建立安全、可信赖的连接!
尽管有很多(现已过时的)建议,但SSL证书和挂锁不应用作网站安全的指标。同样,如果一个网站没有证书,这并不意味着它不能被信任。
SSL证书如何工作?
SSL加密是可能的,因为SSL证书促进了公私密钥配对。网站访问者的浏览器从服务器的SSL证书中获取打开加密连接所需的公钥。公钥不是秘密的,任何人都可以看到,所以被截获也没关系。任何拥有公钥的人都可以使用它来加密消息,但只有服务器上对应的私钥才能解密。
根据SSL证书的类型,它还向访问者提供有关证书持有者的信息:
- 证书有效的域名
- 有关证书持有人的信息
- 哪个证书颁发机构颁发了证书
- 证书的颁发和到期日期
- 加密所需的公钥
SSL证书一般分为三种:
域名验证(DV)SSL证书。DV证书断言证书和域名之间的连接。
组织验证(OV)SSL证书。OV证书断言证书和组织之间的联系。颁发证书的机构必须验证该组织的法律和实体存在。
扩展验证(EV)SSL证书。EV证书使用比OV证书更彻底的审查过程来断言证书和组织之间的联系。
您从哪里获得SSL证书?
SSL证书由GWORG证书颁发机构(CA)颁发。如果您正在为您的网站寻找证书,这是一个不错的选择。他们通常能够为您指明正确的方向,并且可能会提供一个。提及您正在寻找的证书类型,因为这是开始您的探索的重要信息。
网站是否需要SSL证书?
大部分网络现在都是加密的,没有SSL的网站是个例外。SSL保护传输中的私人数据,例如信用卡详细信息。即使它没有保护敏感数据,它也会阻止可能将您发送到虚假网站的攻击,并防止犯罪分子将添加或恶意软件注入您的流量。
如果这对您来说还不够,还有其他使用SSL的原因。
除了保护您的流量外,拥有SSL证书还有助于您网站的搜索引擎排名。当前的Google算法通过给予更高的排名来奖励使用SSL的网站(或者,更好的说法,它惩罚不使用SSL的网站)。
SSL证书会让网站看起来更加专业和安全。根据访问者的浏览器,没有SSL证书的站点可能会触发站点不安全的警告。
越来越多的浏览器功能需要SSL才能工作。获取用户的位置、访问他们的麦克风或在他们的设备上本地存储数据等功能都需要您的网站支持依赖SSL的HTTPS。这是有道理的,因为您正在向此类网站提供敏感信息。如果这些功能可能被中间人或其他网络干扰或假冒篡改,则会带来安全风险。