HTTPS – SSL 证书

什么是SSL证书?

SSL证书(也称为数字证书)在SSL通信中扮演着重要的角色。

SSL证书是由证书颁发机构(CA)颁发的数据文件。前一章中介绍过,SSL使用非对称加密在通信双方之间建立加密连接。SSL证书里包含了证书所有者的公钥和其他信息。web服务器向浏览器发送SSL证书(内含公钥),浏览器验证收到的SSL证书,并通过证书对web服务器进行身份验证。

你可以打开任何https网站的证书。例如,在谷歌Chrome浏览器中输入网址: https://www.qikegu.com 来检查qikegu.com的SSL证书。

任何https网站的地址栏中都有一个挂锁图标,如下所示。

image

单击挂锁图标,然后单击“证书”,如下所示。

image

这将打开证书,如下所示。

image

如上所示,在“常规”选项卡中,显示了证书的颁发者及有效期,“详细信息”选项卡包含了证书的详细信息,“证书路径”选项卡包含了中间证书和根证书的信息。

X.509

X.509是一种数字证书格式的标准。SSL使用X.509格式。

X.509使用一种名为抽象语法 (ASN.1)的正式语言来表示证书的数据结构。

image

X.509格式的SSL证书主要包含以下信息:

  • 版本: 证书数据格式的版本号,指出该证书使用了哪种版本的X.509标准。
  • 序列号: CA分配的证书唯一标识符
  • 公钥: 证书持有人的公钥
  • 主题: 持有人名称、地址、国家和域名
  • 发行者: 颁发证书的CA名称
  • 有效期开始日期: 证书生效的日期
  • 有效期到期日期: 过期日期
  • 签名算法: 用于创建签名的算法
  • 签名:使用颁发者私钥对证书主体创建的签名。

SSL证书的类型

根据验证级别和保护域名数量,可把SSL证书分为几类,这些类别外观不一样,但是使用的加密算法都是一样的。

基于验证级别的SSL证书类型

不同类型的网站需要不同的验证级别。例如,收集用户重要信息的网站需要安全传输,金融机构网站需要验证域名真实性以及数据安全性。证书颁发机构根据不同验证级别颁发证书。

主要有以下三种基于验证级别的证书类型。

DV证书 (Domain Validated Certificates/域名验证证书)

域名验证(DV)证书证明证书持有人拥有域名所有权,该类证书验证级别最低,证书颁发机构只需验证申请者具有域名所有权,DV证书的主要作用是确保web服务器与浏览器之间通信安全。

OV证书(Organization Validated Certificates/组织验证证书)

组织验证(OV)证书证明证书持有人的身份及域名所有权。OV证书里包含了组织名称等信息,该类证书验证级别是中级,证书颁发机构需验证申请者的身份和域名所有权。OV证书增强了证书持有人的信任级别。

EV证书(Extended Validated Certificates/扩展验证证书)

EV证书与OV型一样也包含了企业名称等信息,但EV证书因为其采用了更加严格的认证标准,浏览器对EV证书更加“信任”,当浏览器访问到EV证书时,可以在地址栏显示出公司名称,并将地址栏变成绿色。

EV证书的验证级别是高级,证书颁发机构需验更加严格的验证申请者的身份和域名所有权,包括核查申请者在法律上、物理上及商业上确实存在。

基于域名保护方式的SSL证书类型

单域名证书

单域名证书保护一个完全限定的域名。例如,www.qikegu.com的单域名证书将只会保护www.qikegu.com,而不会保护mail.qikegu.com域名。

通配证书

通配证书保护保护所有子域名。例如,qikegu.com的通配证书将保护mail.qikegu.com,blog.qikegu.com等子域名。

统一SSL证书/多域SSL证书/SAN证书

在SAN扩展的帮助下,统一SSL证书使用相同的证书保护多达100个域。它是专门为保护Microsoft Exchange和Office通信环境设计的。



浙ICP备17015664号 浙公网安备 33011002012336号 联系我们 网站地图  
@2019 qikegu.com 版权所有,禁止转载