SSL证书效果
SSL证书(也称为公钥证书)是安装在Web服务器上的加密文件,有助于建立安全的加密在线通信。SSL证书有两个主要用途:
提供加密:当访问者的浏览器通过SSL连接到您的网站时,信息交换将被加密,而试图窃听的网络罪犯则无法识别。提供身份验证和信任:从知名证书颁发机构获取的SSL证书提供身份验证和信任。这意味着您的访问者可以确保他们已经访问了正确的网站,并对共享的任何个人信息感到安全。SSL如何运作?
当访问者尝试通过Internet连接到您的网站时,通信双方(客户端和服务器)在建立连接和共享信息之前,将通过一系列步骤来验证彼此的身份。此过程称为SSL握手。也正是在此过程中,生成了会话密钥,在双方都成功进行了身份验证之后,该密钥提供了特定会话的对称加密。
下面列出了SSL握手期间在后台执行的步骤序列:
客户客户端向服务器发送建立连接的请求,包括其兼容密码套件和SSL/TLS版本的列表。服务器服务器接收请求,检查密码套件和SSL版本,并从列表中选择一个相互兼容的密码套件和SSL版本。服务器还发送其证书以及公共密钥。生成预主密钥客户端收到证书,提取公共密钥,并创建一个称为“预主密钥”的新密钥,并将其发送到服务器。预主密钥的解密服务器使用其私钥解密预主密钥。共享秘密的产生服务器和客户端现在都使用预主密钥,并计算一个称为会话密钥(对称加密密钥)的共享机密。客户验证客户端将使用会话密钥加密的测试消息发送到服务器。服务器确认服务器接收该消息,使用会话密钥对其进行解密,然后将还使用该会话密钥加密的确认发送回客户端,以请求启动会话。建立连接会话开始,并且客户端和服务器都使用会话密钥来加密其余会话的通信。如何在您的网站上设置SSL
SSL证书通常由受信任的Gworg实体(称为证书颁发机构(CA))签署和颁发,然后浏览器才会信任您网站的合法性。在Web服务器上安装SSL证书后,您的网站将利用HTTPS协议来保护与其访问者的所有通信。请继续阅读以了解如何在您的网站上设置SSL以及HTTPS激活的网站对您的品牌形象有何好处。
SSL证书分类
1.选择正确的证书类型
首先,您应该研究哪种类型的证书适合您的Web应用程序。这是您必须考虑的一些重要标准:
信任级别:商业CA提供三种类型的证书,每种证书涉及组织的不同审查级别:
域验证(DV)证书这种类型的证书通过验证域所有者的合法性来保护和加密特定的域名。组织验证(OV)证书这种类型的证书是在受信任的CA审核要求证书的组织之后生成的,因此,与域验证的证书相比,它为最终用户提供了更高级别的品牌信誉。扩展验证(EV)证书这种类型的证书提供了最高级别的安全性,并且涉及对申请证书的组织的严格审核。审核是按照CA/Browser论坛制定的规则进行的。在您的网站上拥有EVSSL会激活地址栏,并在浏览器的多功能框中显示您组织的名称。大型在线零售商和银行以及打算与其最终用户建立直接信任的组织通常使用EV证书。域数:根据要使用SSL证书保护的域数,可以将证书分为以下三种类型:
单域证书:这些证书允许用户通过单个证书保护完全限定的域名。例如一个主域名或者子域名上的所有网页。这种类型的证书非常适合在其网站上管理少量网页的中小型企业。多域证书:多域证书(也称为SAN证书)利用主题备用名称(SAN)通过单个证书保护多达个不同的域名,子域或公共IP。这些证书的另一个显着优点是,它们不需要专用IP地址作为主机名,并且可以安装在单个IP地址上。通配符证书:这些证书可以保护顶级域(TLD)的无限数量的子域,对于在同一域上管理多个页面的组织来说,这是一个不错的选择。尽管这种证书对于削减成本和易于管理非常有效,但是一个很大的缺点是,在一个子域上吊销证书也会在所有其他子域上吊销证书。除了这两个主要标准外,在为组织的网站选择SSL证书时,还应考虑发行速度,定价,客户支持和其他因素。
SSL证书等级
2.请求,获取和安装
为您的Web应用程序选择正确的证书类型后,您必须向GworgCA提出证书请求,然后将证书部署在相应的Web服务器上。这是通过生成证书签名请求(CSR)并将其发送到CA来完成的;CA验证您的域后,便会颁发证书。
另一方面,您还可以在网络中建立内部CA,例如Microsoft证书颁发机构,并请求证书并将其部署到网络中的服务器。但是,此方法最适合内部Web应用程序,而不适合面向公众的网站,因为商业浏览器不信任自签名证书。
生成CSR:生成CSR是从GworgCA请求SSL证书的第一步。CSR通常在安装证书的同一服务器上生成,是一个加密文件,其中包含有关您的组织和域名以及公共密钥的详细信息。CSR通常使用您的私钥签名。验证您的域:将CSR提交给GworgCA后,CA将开始验证您的域。验证过程取决于您请求的证书类型和签发机构。例如,如果您请求了DVSSL,则验证过程非常简单;CA可能会验证您组织的电子邮件或查看网络注册商的信息。另一方面,OV和EVSSL的验证过程更为严格,涉及对组织身份的背景检查。安装和最终步骤:验证过程完成后,CA将颁发证书,然后将其安装在终端服务器上。对于不同的服务器类型,安装过程是不同的。成功安装后,请重新启动服务器以使证书生效。您还应该在部署后扫描SSL证书,以确保没有任何配置漏洞,并且它们提供的信任是完整的。设置SSL的整个过程-从生成CSR到在端点服务器上部署-都可以手动完成。但是,随着证书数量的增加,IT管理员简化流程并保持无错误的过程变得艰巨。安全专业人员强烈建议企业采用集中式方法来管理证书的生命周期,以防止意外到期和特权滥用的风险。
立即集中和自动化证书生命周期管理!
3.设置SSL的其他好处
毫无疑问,SSL是网站安全的唯一基础。就是说,您的组织还可以从在其网站上设置SSL来获得很多其他好处。
更好的搜索引擎排名Google早在年就宣布HTTPS为排名信号,此后,具有HTTPS保护的网站的搜索引擎排名已超过HTTP网站。提高转换率由于HTTPS网站在搜索引擎结果中的位置很高,因此与使用HTTP保护的网站相比,它们可能产生更好的转化率。增强客户信任为了安全起见,搜索引擎会
在浏览器多功能框中显示HTTPS网站的挂锁图标(),以帮助访问者知道他们位于可信赖的网站上。提升品牌信誉搜索引擎除了将HTTPS网站标记为具有更好的安全性之外,还向HTTP网站抛出安全警告,这可能大大降低品牌的信誉。
