什么是 SSL/TLS 证书?
SSL/TLS 证书是一个数字对象,它允许系统验证身份,然后使用安全套接字层/传输层安全性(SSL/TLS)协议建立到另一个系统的加密网络连接。证书在名为公有密钥基础设施 (PKI) 的加密系统中使用。通过 PKI,在双方都信任同一个第三方(称为证书颁发机构)的情况下,一方可以确认使用证书的另一方的身份。SSL/TLS 证书可用作数字身份证来保护网络通信的安全,确认网站在互联网上的身份以及资源在私有网络上的身份。
为什么 SSL/TLS 证书很重要?
SSL/TLS 证书在网站用户之间建立信任。企业在 Web 服务器上安装 SSL/TLS 证书,以创建受 SSL/TLS 保护的网站。受 SSL/TLS 保护的网页的特征如下:
- Web 浏览器中的挂锁图标和绿色地址栏
- 浏览器网站地址中的 https 前缀
- 有效的 SSL/TLS 证书。您可以通过单击并展开 URL 地址栏中的挂锁图标来检查 SSL/TLS 证书是否有效
- 建立加密连接后,只有客户端和 Web 服务器才能看到发送的数据。
我们在下面列举了 SSL/TLS 证书的一些好处。
保护私人数据
浏览器会验证任何网站的 SSL/TLS 证书,以启动和维护与网站服务器的安全连接。SSL/TLS 技术有助于确保您的浏览器和网站之间的所有通信都得到加密。
增强客户信心
精通互联网的客户了解隐私的重要性,并希望信任他们正在访问的网站。受SSL/TLS保护的网站带有绿色挂锁图标,客户认为这是安全的。SSL/TLS 保护可帮助客户在与您的企业共享数据时知道其数据受到保护。
支持合规性
有些企业必须遵守有关数据机密性和保护的行业法规。例如,支付卡行业的企业必须遵守PCI DSS。PCI DSS 是提供安全在线交易的行业要求,包括使用 SSL/TLS 证书保护 Web 服务器。
改进 SEO
主要的搜索引擎已将 SSL/TLS 保护作为搜索引擎优化的排名因素。受SSL/TLS保护的网站在搜索引擎上的排名可能会高于没有SSL/TLS证书的类似网站。这增加了搜索引擎访问受 SSL/TLS 保护的网站的访问者。
SSL/TLS 证书技术的主要原则是什么?
SSL/TLS 代表安全套接字层和传输层安全性。它是一种协议或通信规则,允许计算机系统在互联网上安全地相互通信。SSL/TLS 证书使 Web 浏览器能够标识使用 SSL/TLS 协议的网站并与之建立加密的网络连接。
加密
加密意味着对原始消息进行加密,使其只能由预期的接收人解密。例如,通过将每个字母按照字母表中的顺序向前移动两位,将单词 cat 更改为 ecv。接收人知道规则(或密钥),将每个字母向后移动两位以阅读实际的单词。SSL/TLS 加密以此概念为基础,使用公有密钥加密,使用两个不同的密钥来加密和解密消息。 通过 PKI,在双方都信任同一个第三方(称为证书颁发机构)的情况下,一方可以确认使用证书的另一方的身份。在通信开始之前,证书颁发机构会验证证书并对双方进行身份验证。
两种类型的密钥是:
公有密钥
浏览器和 Web 服务器通过使用公有密钥和私有密钥对对信息进行编码和解码来进行通信。公有密钥是 Web 服务器在 SSL/TLS 证书中提供给浏览器的加密密钥。在将信息发送到 Web 服务器之前,浏览器使用该密钥对信息进行加密。
私有密钥
只有 Web 服务器拥有私有密钥。使用私有密钥加密的文件只能用公有密钥解密,反之亦然。如果公有密钥只能解密已使用私有密钥加密的文件,那么能够解密该文件就可以确保预期的接收者和发送者是他们声称的真实身份。
身份验证
服务器将 SSL/TLS 证书中的公有密钥发送到浏览器。浏览器会验证来自受信任第三方的证书。因此,它可以验证 Web 服务器是否是它声称的身份。
数字签名
数字签名是每个 SSL/TLS 证书的唯一编号。接收人生成新的数字签名并将其与原始签名进行比较,以确保外部各方在证书通过网络传输时不会篡改证书。
谁验证 SSL/TLS 证书?
证书颁发机构(CA)是向 Web 所有者、Web 托管公司或企业出售 SSL/TLS 证书的组织。在颁发 SSL/TLS 证书之前,CA 会验证域和所有者的详细信息。要成为 CA,组织必须满足操作系统、浏览器或移动设备公司设定的特定要求,并申请被列为根证书颁发机构。这对于在互联网用户之间建立信任非常重要。例如,Amazon Trust Services 是一个证书颁发机构,可以向网站颁发 SSL/TLS 证书。
SSL/TLS 证书的有效期是多久?
SSL/TLS 证书的最长有效期为 13 个月。随着时间的推移,SSL/TLS 证书的有效性会逐渐降低。这样做的目的是减少影响企业和 Web 用户的安全风险。例如,不受信任的第三方可能会使用来自过期域的有效 SSL/TLS 证书来创建未经授权的网站。
通过缩短有效期,减少了滥用 SSL/TLS 证书的机会。当 SSL/TLS 证书过期时,Web 访问者会在浏览器上收到一条警告,告知网站不安全。组织撤销旧的 SSL/TLS 证书,并将其替换为续订的证书。续订过程需要在以前的证书过期之前进行,以避免发生安全事件。
SSL/TLS 证书中包含哪些内容?
SSL/TLS 证书包含以下信息。
- 域名
- 证书颁发机构
- 证书颁发机构的数字签名
- 颁发日期
- 到期日期
- 公有密钥
- SSL/TLS 版本
TLS 代表传输层安全性。它是 SSL/TLS 协议版本 3.0 的继承和延续。SSL/TLS 和 TLS 之间仅存在细微的技术差异。与 SSL/TLS 一样,TLS 在浏览器和 Web 服务器之间提供加密的数据传输通道。现代 SSL/TLS 证书使用 TLS 协议而不是 SSL/TLS,但是安全专家仍然习惯使用 SSL/TLS 这个缩写。虽然不完全相同,但术语 SSL 和 TLS 通常用来表示相同的意思。他们也可能将加密协议称为 SSL/TLS。
SSL/TLS 证书如何工作?
浏览器使用 SSL/TLS 证书通过 SSL/TLS 握手启动与 Web 服务器的安全连接。SSL/TLS 握手是安全超文本传输协议(HTTPS)通信技术的一部分。它是 HTTP 和 SSL/TLS 的组合。HTTP 是 Web 浏览器用来将纯文本信息发送到 Web 服务器的协议。HTTP 传输未加密的数据,这意味着从浏览器发送的信息可能会被第三方拦截和读取。浏览器使用 HTTP 和 SSL/TLS,或使用 HTTPS 进行完全安全的通信。
SSL/TLS 握手
SSL/TLS 握手包括以下步骤:
- 浏览器会打开一个 SSL/TLS 安全网站并连接到 Web 服务器。
- 浏览器尝试通过请求可识别信息来验证 Web 服务器的真实性。
- Web 服务器发送包含公钥的 SSL/TLS 证书作为回复。
- 浏览器会验证 SSL/TLS 证书,确保其有效且与网站域名匹配。一旦浏览器对 SSL/TLS 证书感到满意,它就会使用公钥加密并发送包含秘密会话密钥的消息。
- Web 服务器使用其私钥解密消息并检索会话密钥。然后,它使用会话密钥加密并向浏览器发送确认消息。
- 现在,浏览器和 Web 服务器都切换到使用相同的会话密钥来安全地交换消息。
会话密钥
会话密钥在初始 SSL/TLS 身份验证完成后保持浏览器和 Web 服务器之间的加密通信。会话密钥是用于对称加密的密码密钥。对称加密使用相同的密钥进行加密和解密。非对称密码学占用了巨大的计算能力。因此,Web 服务器切换到对称加密,需要较少的计算来维护 SSL/TLS 连接。
什么是 AWS Certificate Manager?
AWS Certificate Manager(ACM)是一项服务,可帮助您轻松地预调配、管理和部署公有和私有 SSL/TLS 证书,以便用于 AWS 产品和您的内部互联资源。使用该服务,您无需再为购买、上传和续订 SSL/TLS 证书而经历耗时的手动流程。相反,您可以快速请求证书,在与 ACM 集成的 AWS 资源(例如 Elastic Load Balancing、Amazon CloudFront 分配或 Amazon API Gateway 上的 API)上部署该证书,并让 AWS Certificate Manager 处理证书续订事宜。它还让您能够为内部资源创建私有证书并集中管理证书生命周期。
组织使用 ACM 简化 SSL/TLS 证书的申请、部署和续订。只需单击几下即可创建 ACM 托管的 SSL/TLS 证书,而不是生成证书签名请求(CSR)并将其提交给证书颁发机构的传统流程。
立即注册 AWS 账户,开始使用 AWS Certificate Manager。
SSL/TLS 证书有哪些类型?
SSL/TLS 证书因验证和域而异。具有不同验证级别的证书分为:
- 扩展验证证书
- 组织验证的证书
- 域验证的证书
支持不同域类型的 SSL/TLS 证书包括:
- 单域证书
- 通配符证书
- 多域证书
扩展验证证书
扩展验证证书(EV SSL/TLS)是一种具有最高级别的加密、验证和信任的数字证书。申请 EV SSL/TLS 时,组织或 Web 所有者将受到证书颁发机构的严格检查。包括验证实际营业地址、正确的证书申请以及使用域的专有权利。
企业使用 EV SSL/TLS 来保护用户免受未经授权第三方的攻击。当公司处理网站上的敏感数据(例如财务交易和医疗记录)时,这一点很重要。EV SSL/TLS 证书包含企业组织的详细信息,可在浏览器上查看。
组织验证证书
在验证和信任方面,组织验证证书(OV SSL/TLS)仅次于 EV SSL/TLS。与 EV SSL/TLS 一样,公司在申请 OV SSL/TLS 时必须经过验证过程。虽然审查过程不那么严格,但申请人必须向认证机构证明域所有权。
OV SSL/TLS 证书包含经过验证的企业信息,可以在浏览器上进行检查。前沿企业和商业企业使用 OV SSL/TLS 证书在客户之间建立信任。OV SSL/TLS 提供强大的加密功能,以保护客户浏览 Web 时的隐私。
域验证证书
域验证证书(DV SSL/TLS)是验证级别最低的数字证书。其申请费用也最低。与 EV SLL 和 OV SSL/TLS 不同,DV 证书申请人的审查过程不那么严格。申请人通过回复验证电子邮件或电话来证明域所有权。
DV 证书不包含申请人组织或企业的完整信息。因此,它不能为用户提供高度的安全保证。DV 证书适用于信息网站,例如博客。对于支付网关、医疗保健企业或其他处理敏感数据的网站,它们并不理想。
单域 SSL/TLS 证书
单域 SSL/TLS 证书是仅保护一个域或子域的 SSL/TLS 证书。域是网站的主 URL 或地址,例如 amazon.com。子域是在主域之前带有扩展文本的网址,例如 aws.amazon.com。
例如,您可以在 http://example.com 上使用单域 SSL/TLS 证书。但是,您不能同时使用 http://example.com 和 sub.example.com 的证书。
通配符 SSL/TLS 证书
通配符 SSL/TLS 证书是一种保护域及其所有子域的 SSL/TLS 证书。例如,您可以使用通配符 SSL/TLS 证书来保护 http://example.com、blog.example.com 和 shop.example.com。
多域 SSL/TLS 证书
多域证书也称为统一通信证书。多域 SSL/TLS 证书为托管在具有相同所有权的相同或不同服务器上的多个域名提供 SSL/TLS 保护。例如,您为 http://example1.com、domain2.co.uk、shop.business3.com 和 chat.message.au 购买多域证书。