随着互联网技术的迅速发展,网络安全问题也日益凸显。《网络安全法》已于去年正式实施,加强网站保护网民隐私责任的重要性,同时也要求企业网站在运营过程中做好用户隐私数据的保护工作。
英美政府网站早已强制要求HTTPS加密;谷歌、百度也将HTTP/SSL给予更多信任,从而有利网站在搜索结果中提升排名,可见,HTTPS加密已成为最有效的信息安全工具之一。
HTTPS 正在成为网站的标配
当前还有大量的网络流量都是以HTTP明文形式传输,任何一个中间环节都可以被截留、监听并修改。HTTP页面逐渐被浏览器标记为不安全,让用户更直接的看到自己浏览的网站是否存在安全风险。HTTPS无所不在的网络并非遥远的未来,它当下正在普及,HTTPS安全浏览将会成为网站的标配。
如今的互联网时代,对个人、第三方网站和企业来说,数据永远是最宝贵的信息,然而,每天都在发生的数据泄露事件严重程度远远超过人们的想像。
数据安全和用户隐私已经成为时下人们最为关注的问题,加密的重要性也越来越被人们所认知,培育一个“加密无处不在”的互联网环境的需求也日益高涨。
什么是SSL证书
超文本传输安全协议 (Hypertext Transfer Protocol Secure) 是一种通过计算机网络进行安全通信的传输协议。HTTPS经由HTTP进行通信,但利用SSL/TLS来加密数据包,它的信任继承基于预先安装在浏览器中证书颁发机构。要使一网络服务器准备好接受HTTPS连接,管理员必须先创建一数字证书,并交由证书颁发机构签名以使浏览器接受。这种由证书颁发机构签发的,用于网站传输安全得证书就是SSL证书(也有人称HTTPS 证书)。
SSL证书旨在服务器与浏览器之间建立一条SSL安全通道。当通道建立完成后,服务器与浏览器之间会新建立一种加密方式,用以传输数据。也就是说,网站部署SSL证书之后,依然是由HTTP进行明文传输,只是这个明文是经过加密过后的字符串,接收端在收到这串字符串后根据相应的规则进行解密还原。如果没有对应的规则,就算窃取到传输的数据也无法得知具体的数据信息,从而实现了服务器与客户端之间的信息安全传输。
证书品牌:Comodo SSL数字证书、赛门铁克SSL证书、TrustAsia SSL证书 、GeoTrust SSL证书 、Thawte SSL证书 、CFCA SSL证书等等。
证书类型有:DV SSL证书、OV SSL证书、EV SSL证书、通配符SSL证书、多域名SSL证书、单域名SSL证书。
特别注意的是不同品牌/不同类型的SSL证书价格都有所不同,价格从几百到几万不等。
所以不同证书的效果在浏览器的展示效果也是所有不同,且支持的域名也分为多种加密形式,如下图对比:
DV SSL证书
OV SSL证书
EV SSL证书
通配符SSL证书
多域名SSL证书
单域名SSL证书
SSL证书工作原理
从而实现了服务器与客户端之间的信息安全传输。
证书主要作用是在SSL握手中,我们来看一下SSL的握手过程
1. 客户端提交https请求
2. 服务器响应客户,并把证书公钥发给客户端
3. 客户端验证证书公钥的有效性
4. 有效后,会生成一个会话密钥
5. 用证书公钥加密这个会话密钥后,发送给服务器
6. 服务器收到公钥加密的会话密钥后,用私钥解密,回去会话密钥
7. 客户端与服务器双方利用这个会话密钥加密要传输的数据进行通信
SSL证书作用
HTTPS起到了以下几个作用:
1.帮助客户端对服务器身份进行验证,将SSL安全签章放置在您的网站中,您的用户可以通过签章的链接,了解您网站的安全以及可信状况
2. 让需要传输的数据加密化,让您的网站杜绝被挂马等风险
3.验证传输的数据是否完整,RSA、ECC等高强度加密算法,让网站传输安全固若金汤,同时又极大的提高SSL流量承载能力
4.用户在搜索引擎中搜索您的网站时,您的网站会显示安全可信的标识,从而让用户更加信任您的网站。
5.整个互联网包括搜索引擎更喜欢安全的网站,各个搜索引擎已经明确宣布有SSL的网站将提高排名。
目前大部分个人网站或者小型企业网站、电商商务网站用的较多的为单域名SSL证书,价格也便宜,同样可以起到安全加密,防止被恶意拦截篡改网页等功能。
如图
而EV证书使用较多的为政府部分等大型的企业机构。