SSL证书
参考
申请SSL证书,建议先看完这14个问题 - 知乎 (zhihu.com)
SSL 证书 域名型(DV)SSL 证书提交流程-证书申请-文档中心-腾讯云 (tencent.com)
SSL 证书 Nginx 服务器 SSL 证书安装部署-证书安装-文档中心-腾讯云 (tencent.com)
简介
1 . 什么是SSL证书
通俗的说,只要有网站就需要SSL证书。它是帮助网站从不安全的http协议变为安全的https协议的一种数字证书。SSL证书以pem/pfx/cer/crt/jks等格式的文件部署在网站的服务器上。
SSL证书就是利用Web服务器与浏览器以及客户端之间建立加密链接的加密技术,通过配置和应用SSL证书来启用HTTPS协议,来保证互联网数据传输安全的行之有效的解决方案。
2 . 关于SSL证书有效期
由于SSL证书行业规则调整,自2020年9月1日起,SSL证书一次性最多只能签发1年(准确的说是13 个月),但您依然可以一次性采购1-6年,这样的好处是避免每年都要走一次证书采购的商务流程,只要在采购的年限内,任何时间内生成的新证书均为13个月,在13个月到期之前会自动给您下一个13个月的证书,您直接更新到服务器上即可。
3 . SSL证书根据验证级别不同分为三种:
域名型SSL证书(DV SSL)、企业型SSL证书(OV SSL)、增强型SSL证书(EV SSL)
DV SSL证书仅仅需要验证一下域名管理权。
验证方式:验证SSL申请人是否对域名拥有管理权限的时候,向购买域名时填写的管理员邮箱(即域名的whois信息中的邮箱地址)或 admin@yourdomain.com(包括admin、administrator、postmaster、webmaster前缀)发一封邮件,申请人需要登录该邮箱,点击确认链接完成验证。除此之外,还可以通过添加一个临时的DNS解析来验证域名管理权。
OV SSL证书需要经过对网站所有者的企业信息验证和域名管理权的验证后签发。签发出来的SSL证书中包含网站经营者信息,这类证书需要验证域名的管理权限和企业的真实性。
增强型SSL证书(EVSSL)需要验证域名管理权限和企业真实性(这两项验证方式同以上企业型SSL证书的验证方式一样)。另外,如果公司成立未满三年,部分品牌的EV SSL证书需要提供银行的开户许可证等额外的公司证明材料。
4 . 申请SSL证书需要什么条件?注意哪些问题?
首先,申请者要有一个自己的域名或者公网IP地址,确保域名或IP状态正常,如域名未过期,未被停止服务等。
其次,如果是申请OV或者EV SSL证书,一定要确保企业状态是正常的,没有吊销等异常状态。
最后,特别提示,SSL证书不支持任何违法犯罪的网站来申请,一旦发现,立即吊销且不退款。
5. 网站为什么需要安装配置SSL证书?
加密重要数据,防止网站访问者个人敏感信息(账号、地址、手机号等机密信息)被劫持或窃取。
达到PCI的安全标准,SSL是PCI(支付卡行业)合规性的关键组成部分。
安全身份认证,验证网站的真实身份,有效防止钓鱼网站。
防止数据在传输过程中被篡改,保证数据的完整性和安全性。
地址栏安全锁,地址栏的“锁”型标志给用户安全感, 提升用户信任度。
提升品牌形象,确保网站的安全性,从而树立网站可信形象。
更符合搜索引擎对网站的SEO要求,提高搜索排名顺序,给企业带来更多访问量。
提高页面访问速度,提高用户体验,防止客户流失。
消除浏览器对网站的“不安全”提示,减少用户流失风险。
满足与第三方合作的连接安全标准,很多第三方平台,例如小程序、抖音等都不支持没有SSL证书的网站。
6 . SSL数字证书厂商为什么大多数都是国外的
网站的安全离不开SSL数字证书,安全的SSL数字证书需要从正规的SSL数字证书厂商申请。只有在访问拥有“信任根”的网站时,浏览器才会默认网站是安全、合法的,而没有“信任根”预埋的网站则会自动弹出安全警告,提示网民该网站存在安全隐患。
由于中国的数字证书相关领域起步相对较晚,所以很多中国品牌的SSL证书都没有进入到一些稍微老旧一些的浏览器版本和操作系统中,所以,在兼容性方面,目前还是以国外的证书品牌更为成熟。
7 . 如何选择SSL证书
SSL证书有数十款,种类复杂,品牌繁多,价格在百元至万元不等。首先要考虑自身拥有的域名数量情况以及后续域名增加情况。
只有1个域名,以后也不会再增加其他域名,推荐购买单域名证书;
有多个子域名,建议购买通配符SSL证书;
有多个不同的主域名,而且以后还会新增其他域名,推荐购买多域名证书。
建议使用沃通CA的SSL证书选购助手:https://www.wosign.com/Products/ssl.htm,或者直接沃通CA的在线客服来为您筛选证书类型。
8. 不同SSL证书价格不同的原因是什么?为什么相差那么大?
首先,不同品牌的SSL证书所需的人力成本、技术、推广费用、售后服务等因素会对价格产生影响。
其次,不同类型的证书价格也会不同:
1、按域名数量可以分为单域名证书、多域名证书、通配符证书这三类。单域名SSL证书只能保护一个域名,因此价格相对便宜。多域名SSL证书可以保护多个域名,所以价格会高一些。通配符证书可以保护一个域名以及它所有的下一级子域名,而且增加新的子域名不用另外审核及付费,所以价格更高一些。
2、按照验证方式可以分为DV证书(域名验证型)、OV证书(企业验证型)、EV证书(扩展验证型)。DV SSL证书只需验证网站的域名所有权,10分钟左右即可颁发证书,因此价格相对便宜。OV SSL证书和EV SSL证书不仅需要验证域名的所有权,还需要验证企业信息,需提供公司营业执照扫描件和相关信息等材料,需要经过人工审核,一般需要2-3个工作日颁发,所以价格要高一些。
此外,还有一些证书本身附带有一些更加丰富的功能,这也是导致价格出现很大差异的原因。
9 . SSL证书申请的流程
首先:选择购买SSL证书后,在线生成CSR文件(同时也会生成密钥KEY文件),提交订单的同时将CSR文件一起提交到沃通ca证书管理系统,我们将通过api将相关信息提交给CA系统。
其次:CA机构在收到申请之后会进行验证。DV证书只需验证域名,验证通过就会收到CA机构发送给域名管理员的邮件,打开邮件并点击确认即可完成邮件验证。OV或EV证书还需要对企业相关电子信息进行验证,基本是人工审核,需要1-5个工作日。
最后: CA机构的验证通过之后就会颁发证书了,用户可在沃通CA的证书管理系统中自行下载然后部署在服务器上,这就完成了所有的操作步骤。
10 . SSL证书过期了怎么续费?
SSL证书需要用新的证书文件来替换即将过期的SSL证书文件,当您的旧证书还没到期时,沃通CA会把老证书未用完的有效期加载到续费后获取到的新证书中,避免浪费。
11 . 网站安装了SSL证书,但是提示SSL证书无效是什么原因?
A、使用自签名SSL证书:自签名证书是一种自己生成的SSL证书,其并没有通过合法第三方CA机构进行审核签发,所以任何人都是可以签发生成(钓鱼网站也不例外),所以容易被仿冒或者伪造,以及受到中间人的攻击,其风险是非常大的,因此许多浏览器都是不信任自签名证书。
B、SSL证书兼容性较差:并不是所有的CA机构签发的SSL证书都是支持全球通用所有浏览器都信任的。若用户选择的CA机构并不是通过国际WebTrust认证,那么他签发的SSL证书在许多浏览器上都不被信任。所以网站申请SSL证书时,一定要选择通过国际WebTrust认证的CA机构,且能够兼容老旧系统的品牌。
C、SSL证书没有正确安装:如果网站的SSL证书没有正确的安装,用户在进行访问的时候也会有一些风险提示,如提示该页面存在不安全因素。这时只需要将这些http调用资源改为https调用即可。
D、浏览器对指定的SSL证书不信任:有部分SSL证书品牌因为某些原因被浏览器列入”黑名单”,也是公开宣布将不再信任该CA机构签发的SSL证书。所以用户若选择这类的SSL证书,浏览器就会提示证书无效。
E、网站SSL证书已经过期或者还没有生效:出现这种原因主要是电脑系统的日期出现了错误,或者是安装的SSL证书已经过有效期。
F、SSL证书中包含的域名和网站不一致:通常情况下每个SSL证书所对应的网站域名也都是唯一的,当网站部署的SSL证书中所包含的域名与访问的域名不一致,系统就会发出SSL证书无效警告等。解决方法:用户可以重新去申请一个SSL证书,或者原先申请的是多域名型证书可以直接将该域名增加到证书上即可。
G、网站页面中存在不安全信息,目前都提倡每一个页面使用HTTPS,则网站所有的内容都必须是HTTPS。如果遇到图片、JS脚本,FLASH插件是通过HTTP方式去调用的,就会发生这种错误。解决方法:将调用的元素http改成HTTPS即可。
12 . 浏览器是如何验证SSL证书的有效性的?
A、检查SSL证书中的域名是否与该网站的域名一致
浏览器会对域名和SSL证书的一致性进行检查,如果不一致,则浏览器会发出“此网站出具的安全证书是为其他网站地址颁发的。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站”等类似这样的警告信息。
B、检查SSL证书是否由受信任的CA机构颁发
正规CA机构的根证书都会被植入到各大浏览器中,如果浏览器发现SSL证书不是由受信任的CA机构颁发的,则会有安全警告发出,例如非正规CA机构颁发的自签名SSL证书就会出现这种情况。
C、检查SSL证书是否在有效期内
浏览器会检查SSL证书的有效期的,如果证书过期,则会发出“此网站出具的安全证书已过期或还未生效“。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。
D、检查SSL证书的吊销列表是否可用
浏览器会检查SSL证书中的证书吊销列表,如果已经被吊销,浏览器则会显示警告信息:“此组织的证书已被吊销”。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。
13 . HTTPS网站可以打开,但浏览器地址栏没有安全锁,是因为证书的问题吗?
除非证书过期,否则这种情况与证书无关。地址栏没有安全锁的原因是网站源码不符合SSL证书规范,由于HTTPS是一个安全协议抬头,源码中的HTTP是普通的协议资源,这个源码是不支持HTTPS的,所以在HTTPS网站调用就会不安全,因此就要将自己的网站源码所有HTTP协议的改成//自动协议或者HTTPS://抬头。同理,电脑的浏览器打开HTTPS都正常,但一些手机比如安卓手机反而提示不信任,所以每次安卓手机浏览器访问都会有警告提示,只要将这个代码删除就好了。
14 . 如何判断SSL证书是否安装成功呢?
打开地址栏输入:https://+ssl证书绑定的域名,可以看到https://+域名的页面能正常访问,且浏览器地址栏中显示安全锁标志,说明SSL证书已经生效。
注意:比较老的IE6、IE7,还有安卓2.2这种非常老旧的版本,因为CA机构都不会让他们信任,所以这些浏览器提示有安全隐患,打不开也是正常的。
15. 没有域名(只有IP)可以也可以申请SSL证书
没有域名(只有IP)可以申请SSL证书吗? - 知乎 (zhihu.com)
IP申请SSL证书需要注意以下几点:
1、须是公网IP (内网IP不可以);
2、申请者对这个IP具有管理权限;
3、申请者必须是企业或者组织机构(目前个人不可以申请);
4、可以申请单IP证书或多IP证书,不支持IP段的通配。
免费SSL证书申请
免费SSL证书申请,给网站添加HTTPS安全加密 - 知乎 (zhihu.com)
Let’s Encrypt 安装配置教程,免费的 SSL 证书 - 知乎 (zhihu.com)
推荐:申请Let’s Encrypt永久免费SSL证书 - 简书 (jianshu.com)
推荐:[白嫖] 纯IP地址也可以申请TLS证书实现HTTPS 完全免费不用每年花3000块 - 蓝点网 (landiannews.com)
1 | 1. 点击这里注册zeroSSL账号:https://ourl.co/zerossl 邮箱验证即可 |