11月 2nd, 2021

SSL 证书是一种安全协议,用于加密站点和访问它的 Web 浏览器之间的连接。强烈建议网站所有者安装此功能,尤其是需要用户提供敏感信息时。

SSL 证书有多种类型,理想情况下,您需要最适合您的业务、预算和站点规模的证书。

为了帮助您做出决定,本文将解释不同类型的 SSL 证书。我们将讨论每种方法的优缺点以及 SSL 验证级别之间的差异。推荐阅读:《如何给WordPress站点安装并启用SSL证书》

为什么需要 SSL 证书?

SSL 代表安全套接字层。它是由称为证书颁发机构 (CA) 的第三方发布到网站的小数据文件的集合。其目的是在用于在 Internet 上传输 Web 流量的协议(也称为 HTTP)上添加一个安全层。

当网站拥有 SSL 证书时,其 URL 将以https://而不是http://开头。地址栏上也会出现一个挂锁图标。

以下是 SSL 证书工作原理的简要说明:

首先,网站管理员从证书颁发机构购买 SSL 证书。如果该过程成功,该站点将获得一个公钥和一个私钥。推荐阅读:《什么是 SSL和TLS》

当用户打开网站时,浏览器会要求网络服务器发送其 SSL 证书和公钥进行验证。大多数 Web 浏览器都内置了来自各种证书颁发机构的公钥,因此它们能够检查其有效性。

如果成功,浏览器将生成两个对称密钥来加密连接——一个用于自己,另一个用于 Web 服务器。浏览器使用其公钥将对称密钥传递给服务器以确保其安全。

服务器收到加密的对称密钥后,将使用其私钥对其进行解密。由于浏览器和服务器都具有对称密钥,它们现在可以建立安全连接来传输信息。

如果成功,挂锁和https://将出现在地址栏上。

SSL 证书具有以下优点:

更好的保护。通过加密,您和您的访问者的信息不会被未经授权的用户轻易拦截。同时,拥有 SSL 证书也有助于PCI 合规性。

改进了用户体验。当网站未经 SSL 认证时,Chrome 和 Safari 等主要浏览器会建议访问者不要输入任何敏感信息。此警告可能对企业有害。

搜索引擎优化。Google 通常更喜欢带有 SSL 证书的网站,因为它认为 HTTPS 是良好页面体验的重要组成部分。

现在我们了解了 SSL 证书的工作原理以及它们的作用,让我们来看看不同的 SSL 类型。

四种类型的 SSL 证书

在深入研究分类之前,请注意本文不涵盖自签名证书。虽然它是免费的,但它不是由 CA 颁发的,因此不会像其他类型的 SSL 证书那样加密数据。

考虑到这一点,以下 SSL 证书类型全面提供相同级别的安全性。它们的不同之处在于它们可以保护多少个域或子域。

单域 SSL 证书

单域 SSL 证书仅保护证书签名请求 (CSR) 中指定的一个域及其下的所有页面。也就是说,它不会保护与网站相关的任何子域。

换句话说,单个证书将保护example.com及其所有子目录,例如example.com/blog。但是,它不适用于它的子域,例如support.example.com。

由于单个 SSL 证书仅涵盖一个域,因此这种类型的价格通常较低。但是,如果您有多个域或子域,一个一个地安装此类证书可能会很耗时。

通配符 SSL 证书

通配符 SSL 证书为单个域和与其关联的无限子域提供保护。因此,他们将保护example.com以及support.example.com或store.example.com等网站。

要查看网站是否使用通配符证书,请单击地址栏上的挂锁图标并打开证书。如果域名前有星号,则表示该协议也涵盖了该站点的子域。

自然,通配符 SSL 证书比单域证书更昂贵。但是,对于使用多个子域的人来说,这种类型是更具成本效益的选择。

通配符证书的缺点是它们只覆盖第一级的子域,这意味着像login.store.example.com这样的子域将不受保护。

其次,它们可能会带来额外的安全风险,因为私钥在托管子域的所有服务器之间共享。如果未经授权的人拥有私钥,他们可以冒充使用它的任何域。

多域 SSL 证书

多域 SSL 证书保护多个彼此不关联的域。因此,除了example.com,他们还可以保护example-one.com和example-two.com。

像通配符 SSL 证书一样,这种类型的 SSL 证书可以保护每个站点的无限子域。

证书可以保护的站点数量取决于提供商,但范围在 100 到 250 之间。

使用多域 SSL 证书的网站将在证书详细信息的主题备用名称 (SAN)部分列出多个名称。

统一通信证书

统一通信证书 (UCC) 是多域 SSL 证书的前身。它适用于托管在 Microsoft Exchange 和 Live Communications 服务器上的网站和应用程序。

虽然可以将 UCC 用于非 Microsoft 平台,但它们具有特定的配置,使其最适合保护 Microsoft Exchange 服务器环境。

结论

在本文中,我们探索了不同类型的 SSL 证书。SSL 证书是 Secure Sockets Layer 的缩写,负责加密网站与其访问者浏览器之间的连接。

根据它们可以保护的域数量,有四种类型的 SSL 证书:

单域 SSL 证书。仅保护一个网站。

通配符 SSL 证书。保护一个网站及其相关的一级子域。

多域 SSL 证书。适用于不是彼此子域的多个域。

统一通信证书。为 Microsoft 服务器配置的多域证书。

还有三个级别的证书验证:域验证、组织验证和扩展验证。DV 的审查过程最不严格,因为网站管理员只需通过电子邮件或电话验证其域所有权。EV 和 OV 需要提交一些业务文档,但它们提供最高级别的身份验证。

在不同类型的 SSL 证书之间进行选择时,请确保选择最适合您的网站和业务需求的证书。推荐相关阅读:《SSL与TLS,及其在互联网安全中的作用》

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注