SSL证书如何工作？好的SSL怎么购买？

浏览浏览器的地址栏，您会看到一个挂锁图标。安全专家认为 SSL 证书对于任何在线项目都是必不可少的，事实上，虽然不是每个人都在听，但这些证书的使用在过去几年中已经增长了很多。这是告诉您网站的访问者您关心他们数据的安全性的最简单方法，并且您必须确保您的网站有一个。但是，有这么多提供商，选择最适合您需要的证书可能很困难。在我们开始之前，让我们看看什么是 SSL 证书以及它是如何工作的。

什么是 SSL？

马上，您可能会遇到一些困惑。SSL 代表安全套接字层——一种促进计算机网络安全连接的加密协议。尽管它们以它命名，但现代 SSL 证书不使用安全套接字层协议。

相反，它们现在都基于传输层安全性 (TLS) – SSL 的继任者。虽然很难说SSL 名称为何停滞不前，但很容易看出为什么 SSL 证书的重要性多年来如此增长。

SSL 证书的工作是加密在客户端和服务器之间流动的数据，以降低中间人攻击的风险。

顾名思义，在中间人攻击中，黑客捕获了在用户计算机和不受 SSL 证书保护的网站之间传输的信息包。这些数据包通常包含敏感信息，如登录详细信息、信用卡号等，以及

如果是纯文本，很容易被窃取和滥用。在没有 SSL 证书的情况下，犯罪分子还可以更改返回给用户的内容，从而将他们重定向到恶意页面或启动诈骗操作。

中间人攻击已经存在了很长时间，但在过去，这并不是什么大问题。连接到网络的人数要少得多，他们在互联网上共享的敏感信息量也少得多。SSL 证书相当昂贵且部署和安装速度很慢，这就是为什么过去只有大型在线商店拥有它们的原因。

然而，随着时间的推移，越来越多的人可以访问互联网，他们执行的任务的性质也发生了变化。保护他们的信息突然成为当务之急，SSL 证书变得至关重要。它们的存在是如此重要，以至于多年来，互联网浏览器已经实施了许多更改，以便清楚哪些网站有 SSL 证书，哪些没有。

SSL 证书如何工作？

SSL 证书本质上是安装在托管网站的服务器上的文件。它包含一个公共加密密钥、有关网站/服务器所有者和颁发证书的证书颁发机构 (CA)的信息。建立安全连接的第一步称为TLS 握手。

服务器使用 SSL 证书的副本响应初始消息。客户端的浏览器检查证书以查看它是否信任颁发它的 CA，如果信任，它使用包含的公钥加密并将所谓的“预主密钥”发送回服务器。

premaster secret 只能由存储在服务器上且从不与任何人共享的私钥解密。客户端和服务器都使用解密的 premaster secret以及在TLS 握手期间交换的其他数据位来创建会话密钥——从此时起将用于加密数据的加密密钥。每次用户访问网站时，都会启动相同的过程，并生成一组新的、唯一的会话密钥。

为什么我们需要 SSL 证书？

SSL 证书有两个主要用途。它结合使用非对称和对称加密，不仅可以确保数据在传输过程中受到保护，还可以确保客户端与正确的服务器进行通信。

在 TLS 握手期间，用户的浏览器有效地验证服务器并确保它不是冒​​名顶替者。稍后，当连接建立时，它会对数据进行加密，以保证即使有人设法拦截它，他们也无法窃取或以任何方式修改它。

尽管它涉及到一些复杂的密码学，但在大多数情况下，安装 SSL 证书远没有以前那么困难，而且它被广泛认为是保护您的网站的第一步，也是最重要的一步。

自签名证书、DV、OV 和 EV

SSL 证书不需要很昂贵。使用 OpenSSL 等免费工具，您可以创建自己的 SSL 证书并促进客户端和服务器之间的安全连接，而无需花费一分钱。这些证书称为自签名证书，它们确实有许多合法的应用程序。但是，在生产环境中保护网站并不是其中之一。

它们被称为自签名，因为它们不是由证书颁发机构颁发的。虽然这可能会为您节省一大笔钱，但它在某种程度上违背了最初拥有 SSL 证书的目的。

SSL 证书的主要目标之一是向用户保证他们正在与正确的服务器通信。这就是为什么当 CA 颁发证书时，它会执行某些检查以确保获得证书的人真正拥有域和基础在线业务。

浏览器仅在信任 CA 已完成这些检查时才建立安全连接。没有 CA 意味着访问者在尝试连接到您的网站时会看到警告。

如果您想表明您对用户安全的重视，您需要拥有由受信任的 CA 颁发的 SSL 证书。您有很多供应商可供选择，但在您到达那里之前，您需要决定您需要哪种类型的 SSL 证书。

不同类型的证书在它们的工作方式上并没有太大的不同。在保护人们的数据方面，他们都做同样的工作。不同之处在于证书持有者需要通过的验证级别，以向访问者保证他们正在与合法实体开展业务。以下是不同类型的 SSL 证书的工作方式：

• 域验证或 DV 证书——这是从证书颁发机构获得 SSL 证书的最简单、最便宜和最快的方法。DV 证书颁发给被列为网站域名所有者的人。CA 不会进一步验证其背后的人员或组织的身份，这就是为什么证书的创建几乎是即时的。DV 证书适用于不处理过多敏感信息的个人和小型企业网站。2014 年，一家名为Let's Encrypt的 CA开始发放免费的 DV 证书，至今已帮助保护世界网站的很大一部分。鉴于此，您真的没有理由在没有 SSL 证书的情况下运行网站。
• 组织验证或 OV 证书——如果您经营一家中小型企业，您希望获得所有可信度提升，而组织验证 (OV)证书很可能就是您所需要的。这一次，您没有获得证书，而是申请它。有一个审查过程，在此过程中，CA 会对注册为域所有者的组织进行一些背景调查。检查联系信息和注册的物理地址等信息，只有在 CA 认为没有问题的情况下才会颁发证书。当用户单击地址栏中的挂锁图标时，他们可以看到您的组织名称，他们知道你已经通过了背景调查。因此，他们更有可能与您开展业务。颁发 OV 证书可能需要几天时间，而且它们比 DV 替代品要贵得多。
• 扩展验证或 EV 证书——您的组织或电子商务网站越受欢迎，就越有可能有人试图冒充您。这就是为什么大型企业选择最昂贵和最难获得的 SSL 证书类型——扩展验证 (EV) 证书。在颁发 EV 证书之前，CA 会对申请它的组织和/或个人进行一些相当广泛的背景调查。遵循相当多的严格规则，该过程可能需要长达一周的时间。EV 证书也相当昂贵，但它们向用户灌输的额外信任可以使投资变得物有所值。

什么是好的 SSL 购买？

毫无疑问，您的网站需要 SSL 证书。但是，如您所见，有很多选项和许多不同的供应商可供选择。那么，在你拿到钱包之前，你需要记住哪些事情呢？

首先，您需要了解项目的要求。例如，如果您正在创建一个个人博客，并在其中不时分享您的想法，那么每年花费数百（甚至数千）美元购买 EV 证书是没有意义的。事实上，对于这类项目，免费的 Let's Encrypt 证书可能就是您所需要的一切。

然而，再往上走，事情变得有点复杂。如果您打算通过您的网站开展任何类型的业务，您可能需要考虑选择其中一种付费选项。从技术角度来看，证书本身不会增加额外的安全性，但它们可以为您提供额外的可信度，尤其是在您申请OV 证书的情况下。

为新项目选择扩展验证 SSL可能不是最好的选择。证书非常昂贵，并且浏览器供应商最近实施的更改意味着最终用户现在很难区分 EV 和 OV 证书。应该为处理大量敏感数据的流行网站保留 EV 解决方案。

一旦确定了适合您的证书类型，您就需要选择证书供应商。你可以做得比货比三家更糟糕。价格差异很大，您需要确保如果您选择更昂贵的选择，您会得到一些回报。

结论

有些人继续坚持认为，如果您的网站没有登录表单或结帐页面，则不需要 SSL 证书。这与事实相去甚远。SSL 证书不只是加密服务器和客户端之间的通信。它还可以作为您与合法网站进行通信的保证。安装和配置 SSL 证书曾经既昂贵又令人厌烦，但幸运的是现在情况发生了变化。如果您的网站不受 SSL 证书保护，您必须尽快修复此错误。