你是否有很多小问号,下面和牛小七一起了解一下吧~
“不安全” 的 HTTP
HTTP 是互联网的基础的应用层协议,互联网最早期的网站几乎都是基于 http 协议。然而自从 2018 年 Chrome 升级 68 版本以后,http 协议的网站遭到了全面剿杀。当我们在浏览网站的时候,所有 http 协议的网站会在浏览器的地址栏上标注“⚠️不安全”这样的提示。
Http 不安全在哪里呢?
http 协议是明文传输,所以理论上任何人都可以截取、修改或者伪造你的请求。
当你正在一个页面上输入你的用户名、密码、银行卡号等机密信息,如果有黑客正在监听你的信息,就可以很轻松的盗走你的信息。
http 明文传输窃取个人信息
而当你正在浏览某个网站,某些小运营商为了牟利,会解析你浏览的网页并嵌入自己的广告代码,这就是为什么开篇的时候提到的牛小花网站会被加入广告的原因。
解析 http 网站并嵌入广告代码
而 https 协议,就是解决 http 明文传输的问题,其中升级 https 协议的关键就是 SSL 证书。
https 加密传输保证信息安全
Https 和 SSL 证书:为数据传输加把锁
当你在浏览支持 HTTPS 网站的时候,通常会发生以下步骤:
一张图看懂 SSL 证书的工作原理
(1)客户端的浏览器会要求服务器给出身份证明。
(2)服务器就会发送一份 SSL 证书给到浏览器。
(3)浏览器在收到证书以后,会向 CA 机构验证,确保证书是可信的。
(4)浏览器会向服务器发送确认信息;同样,服务器端也会回应。
这样,加密信息就可以顺利的开始交换了。在这个过程中,SSL 证书主要有身份认证和数据加密两大核心功能。 这里 CA 机构是一个受信任的第三方数字证书颁发机构,。
SSL证书在服务器和访问者之间,建立一条高强度加密的信息传输链路,就像高铁轨道两侧的隔离墙,保证上下行信息不会被窃取和篡改。
三个关键词教你选购一款靠谱的 SSL 证书
当我们打开任何一个证书购买的网站,会发现证书种类纷繁复杂,甚至有一些机构做起来帮客户选证书的生意。但是,弄懂了下面这三个关键词,选购证书并不难。
单域名、通配符、多域名证书选哪个?
从保护域名范围的角度,SSL证书又可分为单域名、多域名和通配符证书。
单域名
多域名
通配符
保护域名范围
可以保护单个域名。
可以保护购买者指定多个域名。例如 niuxiaohua.com 和 niuxiaoqi.com 可以共用一张证书
可以整站加密,例如 a.niuxiaoqi.com 和 b.niuxiaoqi.com 和 niuxiaoqi.com 都可以共用一张 *.niuxiaoqi.com 的通配符证书。
使用场景
个人博客、简单宣传页
域名较多,便于需要降低证书数量集中维护
适用于比较复杂的网站
证书类型:DV、OV、EV 证书选哪个?
我们常见的SSL证书包括DV、OV、EV,它们的安全等级逐步提高,所需的验证也愈加严密。
DV(个人型)
OV(企业型)
EV(企业增强型)
审核方式
✅ 域名所属权验证(DNS验证或文件验证)
✅ 域名所属权验证
✅企业信息验证(需要以确认函的方式提供详细的公司资料和授权凭证)
✅ 域名所属权验证:
✅企业信息验证
✅第三方数据验证(邓白氏、114、律师函)
适用场景
个人开发者,个人网站
电商、网店、企业官网
银行、金融机构等
值得注意的是,曾经有很多企业选择 EV 证书不但是因为 EV 证书的高可靠性,而且是因为 EV 证书可以在地址栏显示企业名称,考虑到企业形象和品牌效应,很多公司不惜额外花很多钱购买 EV 证书。但去年年底 Chrome 升级 77 版本以后就不再在浏览器地址栏上显示企业名称,只能在点开小锁以后看到。
从这个角度上,除了金银行等金融机构的一般公司网站或应用, OV 证书在安全性上已经可以做到足够好,是对企业性价比最高的证书。而 DV 证书由于只能做域名所属权验证,并不能正式公司身份,有很多钓鱼网站都可以顺利申请到 DV 证书,因此从安全性的角度上建议企业应用选择 OV 证书。
各种品牌选哪个?
SSL证书是由证书颁发机构(CA)颁发的,建议大家选购权威CA机构颁发的证书,目前常见的几家证书颁发机构如下
- GeoTrust:作为市场占有率超过30%的全球第二大证书颁发机构,GeoTrust是身份认证和信任认证领域的领导者,帮助您低成本、安全地部署SSL证书和实现各种身份验证。
- TrustAsia:亚洲诚信根据国内企业用户的网络环境和使用习惯,建立了国内品牌TrustAsia SSL证书,借助国际知名CA机构DigiCert提供的基础设施支撑,TrustAsia以行业内加密的最高标准提供安全可靠的服务。
- DigiCert:作为全球领先的数字证书提供商,DigiCert深耕于网站身份安全领域二十年,不断挑战现有的技术手段,创新未来。它提供互联网最受信任的标记:诺顿安全签章,您的用户可以通过签章链接,了解网站的安全及可信状况。
CA 停止签发两年证书,证书过期风险提升
近年来,各大浏览器越发重视网站的安全性,因此要求缩短证书的有效期来提高审核验证的频率。自2020年9月1日起,全球证书签发机构停止签发两年期证书,所有证书的有效期不得超过13个月。这意味着,在证书的管理和衔接上,证书使用者需要投入更多的精力,如果没有及时在 13 个月证书服务到期后及时续费,就会出现相当严重的后果。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。