什么是 SSL?
若要您想象一般的商业交易,您会想到什么场景?当地杂货店的结账通道?或者可能是街尽头的柠檬水摊位?
您很有可能不会想到一个网站。然而,如今通过数字方式进行的交易比以往任何时候都多。事实上,到 2027 年,全球电子商务销售额有望超过 8 万亿美元;比起 2023 年,增长了 42%。
问题所在便是:在线交易通常涉及通过可能不安全的设备和网络传输敏感信息。反过来,数字互动必须保持私密性和安全性。幸运的是,这正是数字证书和安全套接层 (SSL) 的作用所在。
还不熟悉?不用担心,我们随时准备带您快速上手。继续阅读以进一步了解 SSL 安全、加密的重要性以及如何为您的组织选择合适的数字证书。
什么是 SSL?
SSL 代表安全套接字层,这是一种互联网安全协议,用于验证网站的身份并创建加密连接。SSL 协议是一项必不可少的技术,该技术用于确保安全连接和保护实体(例如网站、浏览器或 Web 服务器)之间发送的敏感数据。
Netscape 在 1995 年开发了安全套接字层的原始版本。当时,网络数据只能以明文形式传输,这意味着任何人都可以拦截和阅读消息。更糟糕的是,他们可能会窃取消息中包含的任何个人信息。
SSL 协议 1.0 从未向公众发布,因为存在多个安全漏洞,使其容易受到攻击。最后,两个版本之后,SSL 3.0 首次公开亮相,实现了通过互联网进行安全通信——至少是暂时的。
什么是传输层安全 (TLS)?
从实质上说,传输层安全是对初始 SSL 安全协议的现代继承。然而,许多人仍然使用“SSL”这个名称,但他们其实想说的是 TLS。如今,您甚至可以看到这两个缩略词的组合:SSL/TLS 加密。
也就是说,SSL 和 TLS 二者并不能视作等同,因为它们之间有值得注意的差别。
简而言之,TLS 加密比起 SSL 更安全。SSL 安全历年以来发布过多个版本,但每个版本都存在后来被揭露的漏洞。这就是 SSL 自 1996 年以来一直没有更新,现在被视为“已弃用”的原因。
因此,TLS 是当今市场上的默认安全协议,即使它仍被普遍称为“SSL”。传输层安全 1.3(最新版本)修复了早期版本存在的许多弱点,使其成为最安全、最可靠的连接。事实上,美国国家技术标准研究院 (NIST) 要求所有政府机构的 TLS 服务器和客户端都支持 TLS 1.2,并建议各机构计划在 2024 年采用 TLS 1.3。
什么是数字支付?
数字证书是一种通过密码学和公钥基础设施 (PKI) 证明设备、Web 服务器、用户或其他实体真实性的电子文档。数字证书是帮助组织确保只有可信实体才能访问其网络的重要工具。
它们还通常用于向 Web 浏览器确认网站的真实性,从而允许 SSL 建立加密连接。关于这点我们稍候会加以说明。这种特殊类型的证书被称为“SSL 证书”或“TLS 证书”,稍后会详细介绍。
为什么 SSL 和 TLS 很重要?
作为网站所有者,SSL 和 TLS 证书对于保护您的组织、客户和员工免受日益严峻的现代网络安全挑战威胁是必要的。缺乏加密的网站和服务器容易受到攻击。这意味着大量敏感数据可能处于危险之中。
确实,网站的域名所有权不容轻视。部署 SSL 或 TLS 证书有几个原因:
- 数据安全:SSL 安全可确保未经授权的用户无法访问敏感信息,只有目标收件人才能访问。这对于保护登录凭证、财务数据、个人信息和其他高价值目标尤其重要。
- 防范网络钓鱼:数字证书还可以防止某些类型的网络攻击,例如网络钓鱼。黑客通常试图欺骗毫无戒心的受害者,让他们将敏感数据输入到伪造的网站中,并相信该网站是真实的。但是,TLS 证书可以对 Web 服务器进行身份验证,提醒用户该域名是否合法。
- 身份安全:SSL 安全对用于提交个人信息的用户名、密码和表单进行加密,从而为您的客户创造更安全的体验。
- 客户留存率和转化率:如果访问您网站的潜在客户知道结账流程受到安全连接的保护,则他们更有可能完成购买。SSL 安全可以使您免于数据泄露的尴尬,众所周知,数据泄露会使至少 83%的消费者望而却步。
- 搜索引擎排名:实际上,Google 通过将没有 SSL 证书的网站标记为不安全来惩罚它们,这会对搜索引擎优化 (SEO) 排名和网站知名度产生负面影响。
- 合规性:不断升级的要求迫使企业认真对待安全通信。例如,欧洲的《通用数据保护条例》(GDPR) 为加密规定了严格的标准。违反《通用数据保护条例》规定的公司将被处以 2000 万欧元的罚款,或该公司上一财年全球年收入的 4%,以金额较高者为准。
SSL 的作用原理是什么?
显而易见 SSL 加密很重要,但是 SSL 的作用原理是什么?让我们深入探讨并逐步解释一下。
一般来说,流程如下:
- 浏览器或服务器尝试通过 SSL 安全地连接到网站(如 Web 服务器)。Web 客户端向服务器发送消息以启动该流程。
- 作为回应,网站会发送回其 SSL 证书的副本,即公钥。
- 浏览器/服务器会检查其是否信任 SSL 证书。如果是,它会创建加密私钥并将其发送回网站。
- Web 服务器接收并解密私钥。然后,它会创建加密连接并将内容传回客户端。
- 最后,客户端解密内容并可以安全地开始会话。
此流程通常称为“SSL 握手”。为什么?因为这大体上是双方之间建立的协议,也就是在彼此之间建立了信任。从表面上看,这个过程似乎会很漫长,但实际上只发生在几毫秒间。实际上,它对最终用户体验几乎没有影响。
值得注意的是,只有拥有 SSL 或 TLS 证书的网站才能添加 SSL。这些证书就像一个徽章,用于对网站所有者进行验证和证实。TLS 证书的一个重要方面是网站的公钥。所谓公钥,是一种实现加密的机制。
设备可查看公钥并使用它在 Web 服务器上创建安全的加密密钥。同时,Web 服务器有一个始终保密的私钥,用来解密由公钥加密的数据。
好多密钥啊。总而言之,这里再次给出这些定义:
- SSL 握手:双方(通常是浏览器/服务器和 Web 服务器)之间建立安全连接的协商过程。
- 公钥:一种用于加密发给特定收取人的信息的加密密钥,只能使用第二种工具(即私钥)进行解密。
- 私钥:也称为密钥,用于加密和解密数据,从而启动安全会话。
SSL/TLS 证书的类型
数字证书可以按类型和验证级别进行细分。让我们先来看看三种主要的 SSL 和 TLS 证书类型:
- 单域名:顾名思义,单域名 SSL 证书仅适用于一个网站。它不能用于验证任何其他域名,包括授予了该证书的网站的子域名。
- Wildcard:同样,Wildcard 证书仅适用于一个域名,但也可以包括其子域名。因此,您可以使用它来保护敏感信息,并对总域名下的所有内容进行验证。
- 多域名:相比之下,多域名 SSL 可以在一个 SSL 证书上列出多个不相关的域名。
数字证书还具有不同的验证级别,证书颁发机构 (CA) 使用这些验证级别来证明域名所有权。它们的范围很广,从最低限度的验证一直到严格的背景调查。接下来我们将详细介绍这几种数字证书类型:
扩展验证(EV SSL 证书)
大多数在线用户都喜欢 EV SSL 证书,因为 EV SSL 证书附带最全面的验证检查,包括域名验证以及将实体与特定物理位置关联的交叉检查。
此类型的验证会留下详细的书面跟踪,如果在网站上进行交易时发生了欺诈行为,可以为客户提供支持和帮助。
组织验证(OV SSL 证书)
域名取得OV 证书的流程略微宽松一些。CA 会联系申请证书的个人或企业,但不会完成对申请对象的全面背景调查。
除了域名所有权之外,还会对公司进行验证,证书详细信息可以在大多数主流 Web 浏览器上查看到,从而使用户有机会确定他们所在的网站是否合法。
域名验证(DV SSL 证书)
使用 DV 证书保护的网站仅在地址栏中提供挂锁标识,但不显示机构的详细信息,因为并不存在。这些证书仅验证域名所有权,可以匿名获取,并且不会将域名与个人、位置或实体关联起来。
如何选择和获取 SSL 证书
数字证书多种多样,提供不同级别的保护和保证。根据您的业务需求选择正确的 SSL/TLS 证书是很重要的,否则您可能会面临更多潜在攻击和违规行为的风险。
首先,考虑您的组织所需的验证级别。您的行业是否有严格的数据保护和加密标准?您的目标客户需要什么类型的保证?您收集了哪些类型的个人信息?这些问题可以让您有一个正确的方向。
接下来,您必须根据您的特定目的选择所需的证书类型。问问自己:您要怎样使用密钥?您有标准的 Web 服务器请求或交换服务器集群需要覆盖吗?您需要多域名证书吗?
还不确定吗?试试我们的SSL 证书选择工具,以获取更多指导。
获取证书
缩小选择范围后,您要向授权证书颁发机构(例如 Entrust)提交证书签名请求 (CSR)。
此外,证书中包含的每个域名都需要获得域名所有者的许可。如果申请公司、其上级组织或其子公司未注册域名,则 CA 无法处理证书申请。您必须提供公司电话号码和高级领导的联系信息。总的来说,你需要:
- 有效的付款信息
- 授权联系信息
- 技术联系信息
- 账单联系信息
- 已完成的 CSR
- 所有域名列表
在 Entrust,我们提供各种 SSL/TLS 证书可选,灵活且便捷,使您能够为组织做出最佳选择。
SSL 常见问题
SSL 比 HTTP 更安全吗?
简而言之,是的。HTTP 代表超文本传输协议。这些协议与 SSL 相结合,就形成了 HTTPS,也就是 HTTP 的一种安全形式,其中的连接都经过安全加密。现代浏览器不鼓励使用不安全的 HTTP 连接,因为它们不使用加密,无法确保安全性。
对称加密和非对称加密有什么区别?
对称加密使用相同的加密密钥进行加密和解密。而非对称加密使用公钥和私钥,因此被认为是更安全的选项,并且被大多数数字证书使用。
SSL 证书能否在多个服务器上使用?
如果签发供应商允许,可以在多台服务器上使用 SSL 证书。这要归功于多域名证书的强大功能。
Entrust:您的首选 SSL 加密提供商
Entrust 是证书颁发机构 (CA) 安全委员会和 CA/Browser 论坛的创始成员。我们的数字安全专家积极推动 TLS/SSL、文档签名、代码签名证书和证书管理行业标准的发展。
不仅仅是领导力,我们还为广泛的行业需求提供强大且值得信赖的数字证书组合。借助 Entrust 屡获殊荣的证书平台,您将获得:
- 屡获殊荣的支持服务
- 兼容性高,广泛适用于各浏览器
- 不受限制的重新签发次数
- 不受限制的服务器许可数量
- 128 至 256 位加密
- 所有 Entrust 证书都符合广泛认可的 x.509 国际公钥基础设施 (PKI)。