什么是SSL证书?
SSL证书(也称为数字证书)在SSL通信中扮演着重要的角色。
SSL证书是由证书颁发机构(CA)颁发的数据文件。前一章中介绍过,SSL使用非对称加密在通信双方之间建立加密连接。SSL证书里包含了证书所有者的公钥和其他信息。web服务器向浏览器发送SSL证书(内含公钥),浏览器验证收到的SSL证书,并通过证书对web服务器进行身份验证。
你可以打开任何https网站的证书。例如,在谷歌Chrome浏览器中输入网址: https://www.qikegu.com 来检查qikegu.com的SSL证书。
任何https网站的地址栏中都有一个挂锁图标,如下所示。
单击挂锁图标,然后单击“证书”,如下所示。
这将打开证书,如下所示。
如上所示,在“常规”选项卡中,显示了证书的颁发者及有效期,“详细信息”选项卡包含了证书的详细信息,“证书路径”选项卡包含了中间证书和根证书的信息。
X.509
X.509是一种数字证书格式的标准。SSL使用X.509格式。
X.509使用一种名为抽象语法 (ASN.1)的正式语言来表示证书的数据结构。
X.509格式的SSL证书主要包含以下信息:
- 版本: 证书数据格式的版本号,指出该证书使用了哪种版本的X.509标准。
- 序列号: CA分配的证书唯一标识符
- 公钥: 证书持有人的公钥
- 主题: 持有人名称、地址、国家和域名
- 发行者: 颁发证书的CA名称
- 有效期开始日期: 证书生效的日期
- 有效期到期日期: 过期日期
- 签名算法: 用于创建签名的算法
- 签名:使用颁发者私钥对证书主体创建的签名。
SSL证书的类型
根据验证级别和保护域名数量,可把SSL证书分为几类,这些类别外观不一样,但是使用的加密算法都是一样的。
基于验证级别的SSL证书类型
不同类型的网站需要不同的验证级别。例如,收集用户重要信息的网站需要安全传输,金融机构网站需要验证域名真实性以及数据安全性。证书颁发机构根据不同验证级别颁发证书。
主要有以下三种基于验证级别的证书类型。
DV证书 (Domain Validated Certificates/域名验证证书)
域名验证(DV)证书证明证书持有人拥有域名所有权,该类证书验证级别最低,证书颁发机构只需验证申请者具有域名所有权,DV证书的主要作用是确保web服务器与浏览器之间通信安全。
OV证书(Organization Validated Certificates/组织验证证书)
组织验证(OV)证书证明证书持有人的身份及域名所有权。OV证书里包含了组织名称等信息,该类证书验证级别是中级,证书颁发机构需验证申请者的身份和域名所有权。OV证书增强了证书持有人的信任级别。
EV证书(Extended Validated Certificates/扩展验证证书)
EV证书与OV型一样也包含了企业名称等信息,但EV证书因为其采用了更加严格的认证标准,浏览器对EV证书更加“信任”,当浏览器访问到EV证书时,可以在地址栏显示出公司名称,并将地址栏变成绿色。
EV证书的验证级别是高级,证书颁发机构需验更加严格的验证申请者的身份和域名所有权,包括核查申请者在法律上、物理上及商业上确实存在。
基于域名保护方式的SSL证书类型
单域名证书
单域名证书保护一个完全限定的域名。例如,www.qikegu.com的单域名证书将只会保护www.qikegu.com,而不会保护mail.qikegu.com域名。
通配证书
通配证书保护保护所有子域名。例如,qikegu.com的通配证书将保护mail.qikegu.com,blog.qikegu.com等子域名。
统一SSL证书/多域SSL证书/SAN证书
在SAN扩展的帮助下,统一SSL证书使用相同的证书保护多达100个域。它是专门为保护Microsoft Exchange和Office通信环境设计的。