什么是 SSL 证书？

什么是 SSL 证书？

SSL 证书使得包括主机说在内的网站能够从 HTTP 转到更加安全的 HTTPS。SSL 证书是托管在网站源服务器中的数据文件。SSL 证书促成了 SSL/TLS 加密，它们含有网站的公钥和网站标识以及相关信息。尝试与源服务器通信的设备将引用此文件，以获取公钥并验证服务器的身份。私钥应保密并妥善保管。
简而言之：SSL 可确保互联网连接的安全，并防止犯罪分子读取或修改两个系统之间传输的信息。如果您在地址栏中的 URL 旁看到一个挂锁图标，则表示 SSL 在保护您正在访问的网站。
自 SSL 协议在约 25 年前发布以来，已经有多个版本问世，所有这些版本在某些时候都会遇到安全性方面的难题。随后出现了经过修改和重命名的版本 – TLS（传输层安全性），至今仍在使用。但是，首字母缩写 SSL 早已深入人心，因此该协议的新版本通常仍在使用这一旧名称。

什么是 SSL？

SSL（通常称为 TLS）是用于加密互联网流量和验证服务器身份的协议。任何具有 HTTPS 网址的网站都使用 SSL/TLS。请参阅什么是 SSL？和什么是 TLS？来了解更多信息。

SSL 证书包含哪些信息？

SSL 证书包含以下信息：

• 针对其颁发证书的域名
• 证书颁发给哪一个人、组织或设备
• 证书由哪一证书颁发机构颁发
• 证书颁发机构的数字签名
• 关联的子域
• 证书的颁发日期
• 证书的到期日期
• 公钥（私钥为保密状态）

用于 SSL 的公钥和私钥本质上是用于加密和签署数据的长字符串。使用公钥加密的数据只能用私钥解密。

为什么网站需要 SSL 证书？

网站需要 SSL 证书，以确保用户数据的安全，验证网站的所有权，防止攻击者创建站点的虚假版本，并且获得用户信任。

加密：SSL/TLS 加密之所以可行，是因为 SSL 证书促成了公钥私钥配对。客户端（例如 Web 浏览器）从服务器的 SSL 证书获取打开 TLS 连接所需的公钥。

身份验证：SSL 证书可验证客户端正在与实际拥有该域的正确服务器进行通信。这有助于防止域欺骗和其他类型的攻击。

HTTPS：对企业而言，HTTPS 网址必须使用 SSL证书，这一点最为重要。HTTPS 是 HTTP 的安全形式，HTTPS 网站是通过 SSL/TLS 加密流量的网站。

除了在传输过程中保护用户数据外，HTTPS 还使站点更值得用户信赖。许多用户不会注意到以 http:// 和 https:// 开头的网址的区别，但大多数浏览器都使用醒目的方式将 HTTP 站点标记为“不安全”，并且尝试为切换到 HTTPS 和增强安全性提供奖励。

网站如何获取 SSL 证书？

为了使 SSL 证书有效，域需要从证书颁发机构（CA）获取该证书。CA 是外部组织，也是受信任的第三方，它会生成并颁发 SSL 证书。CA 还使用自己的私钥对证书进行数字签名，以允许客户端设备对其进行验证。大多数（但不是全部）CA 为颁发 SSL 证书收取费用。

颁发之后，需要在网站的源站服务器上安装并激活证书。网站托管服务通常可以为网站运营者处理这一事务。在源站服务器上激活证书后，该网站便可通过 HTTPS 进行加载，并且往返于该网站的所有流量都将受到加密和保护。

SSL 证书如何工作？

SSL 的原理是确保用户和网站之间或两个系统之间传输的任何数据始终无法被读取。它使用加密算法对传输中的数据进行加密，从而防止黑客读取通过连接发送的数据。该数据包括潜在的敏感信息，例如姓名、地址、信用卡号或其他财务详细信息。

该过程如下所示：

1. 浏览器或服务器尝试连接到使用 SSL 保护的网站（即 Web 服务器）。
2. 浏览器或服务器请求 Web 服务器证明自己的身份。
3. 作为响应，Web 服务器向浏览器或服务器发送它的 SSL 证书的副本。
4. 浏览器或服务器检查以了解是否信任 SSL 证书。如果信任，它将向 Web 服务器发出信号。
5. 然后，Web 服务器返回经过数字签名的确认，以启动 SSL 加密会话。
6. 加密数据在浏览器或服务器与 Web 服务器之间共享。

此过程有时称为“SSL 握手”。虽然这个过程听起来似乎很漫长，但实际发生时只有几毫秒。

当网站具备 SSL 证书保护时，首字母缩写 HTTPS（代表安全超文本传输协议）会显示在 URL 中。如果没有 SSL 证书，则只会显示字母 HTTP（即没有代表安全的 S）。URL 地址栏中也会显示一个挂锁图标。这表示信任，并向那些访问该网站的人提供了保证。

要查看 SSL 证书的详细信息，可以单击浏览器栏中的挂锁符号。SSL 证书中通常包括的详细信息包括：

• 针对其颁发证书的域名
• 颁发给哪个人、组织或设备
• 哪个证书颁发机构颁发了证书
• 证书颁发机构的数字签名
• 关联的子域
• 证书的颁发日期
• 证书的到期日期
• 公钥（不公开私钥）

什么是自签名 SSL 证书？

从技术上讲，任何人都可以通过生成公私钥对并包括上述所有信息来创建自己的 SSL 证书。此类证书称为自签名证书，因为使用的数字签名将是网站自己的私钥，而不是来自 CA。

但若使用自签名证书，就没有外部权威来验证源站服务器是否是它声称的身份。浏览器认为自签名证书不可信，并且尽管使用了 https:// URL，但可能仍然将站点标记为“不安全”。它们也可能会完全终止连接，从而阻止网站加载。

是否可以获得免费的 SSL 证书？

主机说提供免费的 SSL/TLS 加密，是第一家这样做的公司，于 2014 年 9 月推出了 Universal SSL。SSL 的免费版本可在多个客户域之间共享 SSL 证书。主机说还为企业客户提供自定义 SSL 证书。

要获得免费的 SSL 证书，域所有者需要注册 主机说并在其 SSL 设置中选择一个 SSL 选项。本文提供了有关使用 主机说设置 SSL 的更多说明。使用 主机说诊断中心检查，以确保 SSL 加密在网站上正常运行。

为什么 Cloudflare 提供免费的 SSL 证书？

主机说能够免费提供 SSL，因为它的全球分布式 CDN 拥有高效的代理服务器，它们在世界各地的数据中心中运行。主机说的使命是帮助提高 Internet 的安全性，而 HTTPS 的广泛采用是实现这一目标的重要步骤。SSL/TLS 加密可保护用户数据，预防攻击，并使 Internet 在总体上更加安全。