什么是 SSL/TLS 證書(shū)？

SSL/TLS 證書(shū)是一個(gè)數字對象，它允許系統驗證身份，然后使用安全套接字層/傳輸層安全性（SSL/TLS）協(xié)議建立到另一個(gè)系統的加密網(wǎng)絡(luò )連接。證書(shū)在名為公有密鑰基礎設施 (PKI) 的加密系統中使用。通過(guò) PKI，在雙方都信任同一個(gè)第三方（稱(chēng)為證書(shū)頒發(fā)機構）的情況下，一方可以確認使用證書(shū)的另一方的身份。SSL/TLS 證書(shū)可用作數字身份證來(lái)保護網(wǎng)絡(luò )通信的安全，確認網(wǎng)站在互聯(lián)網(wǎng)上的身份以及資源在私有網(wǎng)絡(luò )上的身份。

為什么 SSL/TLS 證書(shū)很重要？

SSL/TLS 證書(shū)在網(wǎng)站用戶(hù)之間建立信任。企業(yè)在 Web 服務(wù)器上安裝 SSL/TLS 證書(shū)，以創(chuàng )建受 SSL/TLS 保護的網(wǎng)站。受 SSL/TLS 保護的網(wǎng)頁(yè)的特征如下：

Web 瀏覽器中的掛鎖圖標和綠色地址欄

瀏覽器網(wǎng)站地址中的 https 前綴

有效的 SSL/TLS 證書(shū)。您可以通過(guò)單擊并展開(kāi) URL 地址欄中的掛鎖圖標來(lái)檢查 SSL/TLS 證書(shū)是否有效

建立加密連接后，只有客戶(hù)端和 Web 服務(wù)器才能看到發(fā)送的數據。

我們在下面列舉了 SSL/TLS 證書(shū)的一些好處。

保護私人數據

瀏覽器會(huì )驗證任何網(wǎng)站的 SSL/TLS 證書(shū)，以啟動(dòng)和維護與網(wǎng)站服務(wù)器的安全連接。SSL/TLS 技術(shù)有助于確保您的瀏覽器和網(wǎng)站之間的所有通信都得到加密。

增強客戶(hù)信心

精通互聯(lián)網(wǎng)的客戶(hù)了解隱私的重要性，并希望信任他們正在訪(fǎng)問(wèn)的網(wǎng)站。受SSL/TLS保護的網(wǎng)站帶有綠色掛鎖圖標，客戶(hù)認為這是安全的。SSL/TLS 保護可幫助客戶(hù)在與您的企業(yè)共享數據時(shí)知道其數據受到保護。

支持合規性

有些企業(yè)必須遵守有關(guān)數據機密性和保護的行業(yè)法規。例如，支付卡行業(yè)的企業(yè)必須遵守PCI DSS。PCI DSS 是提供安全在線(xiàn)交易的行業(yè)要求，包括使用 SSL/TLS 證書(shū)保護 Web 服務(wù)器。

改進(jìn) SEO

主要的搜索引擎已將 SSL/TLS 保護作為搜索引擎優(yōu)化的排名因素。受SSL/TLS保護的網(wǎng)站在搜索引擎上的排名可能會(huì )高于沒(méi)有SSL/TLS證書(shū)的類(lèi)似網(wǎng)站。這增加了搜索引擎訪(fǎng)問(wèn)受 SSL/TLS 保護的網(wǎng)站的訪(fǎng)問(wèn)者。

SSL/TLS 證書(shū)技術(shù)的主要原則是什么？

SSL/TLS 代表安全套接字層和傳輸層安全性。它是一種協(xié)議或通信規則，允許計算機系統在互聯(lián)網(wǎng)上安全地相互通信。SSL/TLS 證書(shū)使 Web 瀏覽器能夠標識使用 SSL/TLS 協(xié)議的網(wǎng)站并與之建立加密的網(wǎng)絡(luò )連接。

加密

加密意味著(zhù)對原始消息進(jìn)行加密，使其只能由預期的接收人解密。例如，通過(guò)將每個(gè)字母按照字母表中的順序向前移動(dòng)兩位，將單詞cat更改為ecv。接收人知道規則（或密鑰），將每個(gè)字母向后移動(dòng)兩位以閱讀實(shí)際的單詞。SSL/TLS 加密以此概念為基礎，使用公有密鑰加密，使用兩個(gè)不同的密鑰來(lái)加密和解密消息。 通過(guò) PKI，在雙方都信任同一個(gè)第三方（稱(chēng)為證書(shū)頒發(fā)機構）的情況下，一方可以確認使用證書(shū)的另一方的身份。在通信開(kāi)始之前，證書(shū)頒發(fā)機構會(huì )驗證證書(shū)并對雙方進(jìn)行身份驗證。

兩種類(lèi)型的密鑰是：

公有密鑰

瀏覽器和 Web 服務(wù)器通過(guò)使用公有密鑰和私有密鑰對對信息進(jìn)行編碼和解碼來(lái)進(jìn)行通信。公有密鑰是 Web 服務(wù)器在 SSL/TLS 證書(shū)中提供給瀏覽器的加密密鑰。在將信息發(fā)送到 Web 服務(wù)器之前，瀏覽器使用該密鑰對信息進(jìn)行加密。

私有密鑰

只有 Web 服務(wù)器擁有私有密鑰。使用私有密鑰加密的文件只能用公有密鑰解密，反之亦然。如果公有密鑰只能解密已使用私有密鑰加密的文件，那么能夠解密該文件就可以確保預期的接收者和發(fā)送者是他們聲稱(chēng)的真實(shí)身份。

身份驗證

服務(wù)器將 SSL/TLS 證書(shū)中的公有密鑰發(fā)送到瀏覽器。瀏覽器會(huì )驗證來(lái)自受信任第三方的證書(shū)。因此，它可以驗證 Web 服務(wù)器是否是它聲稱(chēng)的身份。

數字簽名

數字簽名是每個(gè) SSL/TLS 證書(shū)的唯一編號。接收人生成新的數字簽名并將其與原始簽名進(jìn)行比較，以確保外部各方在證書(shū)通過(guò)網(wǎng)絡(luò )傳輸時(shí)不會(huì )篡改證書(shū)。

誰(shuí)驗證 SSL/TLS 證書(shū)？

證書(shū)頒發(fā)機構（CA）是向 Web 所有者、Web 托管公司或企業(yè)出售 SSL/TLS 證書(shū)的組織。在頒發(fā) SSL/TLS 證書(shū)之前，CA 會(huì )驗證域和所有者的詳細信息。要成為 CA，組織必須滿(mǎn)足操作系統、瀏覽器或移動(dòng)設備公司設定的特定要求，并申請被列為根證書(shū)頒發(fā)機構。這對于在互聯(lián)網(wǎng)用戶(hù)之間建立信任非常重要。例如，Amazon Trust Services 是一個(gè)證書(shū)頒發(fā)機構，可以向網(wǎng)站頒發(fā) SSL/TLS 證書(shū)。

SSL/TLS 證書(shū)的有效期是多久？

SSL/TLS 證書(shū)的最長(cháng)有效期為 13 個(gè)月。隨著(zhù)時(shí)間的推移，SSL/TLS 證書(shū)的有效性會(huì )逐漸降低。這樣做的目的是減少影響企業(yè)和 Web 用戶(hù)的安全風(fēng)險。例如，不受信任的第三方可能會(huì )使用來(lái)自過(guò)期域的有效 SSL/TLS 證書(shū)來(lái)創(chuàng )建未經(jīng)授權的網(wǎng)站。

通過(guò)縮短有效期，減少了濫用 SSL/TLS 證書(shū)的機會(huì )。當 SSL/TLS 證書(shū)過(guò)期時(shí)，Web 訪(fǎng)問(wèn)者會(huì )在瀏覽器上收到一條警告，告知網(wǎng)站不安全。組織撤銷(xiāo)舊的 SSL/TLS 證書(shū)，并將其替換為續訂的證書(shū)。續訂過(guò)程需要在以前的證書(shū)過(guò)期之前進(jìn)行，以避免發(fā)生安全事件。

SSL/TLS 證書(shū)中包含哪些內容？

SSL/TLS 證書(shū)包含以下信息。

域名

證書(shū)頒發(fā)機構

證書(shū)頒發(fā)機構的數字簽名

頒發(fā)日期

到期日期

公有密鑰

SSL/TLS 版本

TLS 代表傳輸層安全性。它是 SSL/TLS 協(xié)議版本 3.0 的繼承和延續。SSL/TLS 和 TLS 之間僅存在細微的技術(shù)差異。與 SSL/TLS 一樣，TLS 在瀏覽器和 Web 服務(wù)器之間提供加密的數據傳輸通道?，F代 SSL/TLS 證書(shū)使用 TLS 協(xié)議而不是 SSL/TLS，但是安全專(zhuān)家仍然習慣使用 SSL/TLS 這個(gè)縮寫(xiě)。雖然不完全相同，但術(shù)語(yǔ) SSL 和 TLS 通常用來(lái)表示相同的意思。他們也可能將加密協(xié)議稱(chēng)為 SSL/TLS。

SSL/TLS 證書(shū)如何工作？

瀏覽器使用 SSL/TLS 證書(shū)通過(guò) SSL/TLS 握手啟動(dòng)與 Web 服務(wù)器的安全連接。SSL/TLS 握手是安全超文本傳輸協(xié)議（HTTPS）通信技術(shù)的一部分。它是 HTTP 和 SSL/TLS 的組合。HTTP 是 Web 瀏覽器用來(lái)將純文本信息發(fā)送到 Web 服務(wù)器的協(xié)議。HTTP 傳輸未加密的數據，這意味著(zhù)從瀏覽器發(fā)送的信息可能會(huì )被第三方攔截和讀取。瀏覽器使用 HTTP 和 SSL/TLS，或使用 HTTPS 進(jìn)行完全安全的通信。

SSL/TLS 握手

SSL/TLS 握手包括以下步驟：

瀏覽器會(huì )打開(kāi)一個(gè) SSL/TLS 安全網(wǎng)站并連接到 Web 服務(wù)器。

瀏覽器嘗試通過(guò)請求可識別信息來(lái)驗證 Web 服務(wù)器的真實(shí)性。

Web 服務(wù)器發(fā)送包含公鑰的 SSL/TLS 證書(shū)作為回復。

瀏覽器會(huì )驗證 SSL/TLS 證書(shū)，確保其有效且與網(wǎng)站域名匹配。一旦瀏覽器對 SSL/TLS 證書(shū)感到滿(mǎn)意，它就會(huì )使用公鑰加密并發(fā)送包含秘密會(huì )話(huà)密鑰的消息。

Web 服務(wù)器使用其私鑰解密消息并檢索會(huì )話(huà)密鑰。然后，它使用會(huì )話(huà)密鑰加密并向瀏覽器發(fā)送確認消息。

現在，瀏覽器和 Web 服務(wù)器都切換到使用相同的會(huì )話(huà)密鑰來(lái)安全地交換消息。

會(huì )話(huà)密鑰

會(huì )話(huà)密鑰在初始 SSL/TLS 身份驗證完成后保持瀏覽器和 Web 服務(wù)器之間的加密通信。會(huì )話(huà)密鑰是用于對稱(chēng)加密的密碼密鑰。對稱(chēng)加密使用相同的密鑰進(jìn)行加密和解密。非對稱(chēng)密碼學(xué)占用了巨大的計算能力。因此，Web 服務(wù)器切換到對稱(chēng)加密，需要較少的計算來(lái)維護 SSL/TLS 連接。

什么是 AWS Certificate Manager？

AWS Certificate Manager（ACM）是一項服務(wù)，可幫助您輕松地預調配、管理和部署公有和私有 SSL/TLS 證書(shū)，以便用于 AWS 產(chǎn)品和您的內部互聯(lián)資源。使用該服務(wù)，您無(wú)需再為購買(mǎi)、上傳和續訂 SSL/TLS 證書(shū)而經(jīng)歷耗時(shí)的手動(dòng)流程。相反，您可以快速請求證書(shū)，在與 ACM 集成的 AWS 資源（例如 Elastic Load Balancing、Amazon CloudFront 分配或 Amazon API Gateway 上的 API）上部署該證書(shū)，并讓 AWS Certificate Manager 處理證書(shū)續訂事宜。它還讓您能夠為內部資源創(chuàng )建私有證書(shū)并集中管理證書(shū)生命周期。

組織使用 ACM 簡(jiǎn)化 SSL/TLS 證書(shū)的申請、部署和續訂。只需單擊幾下即可創(chuàng )建 ACM 托管的 SSL/TLS 證書(shū)，而不是生成證書(shū)簽名請求（CSR）并將其提交給證書(shū)頒發(fā)機構的傳統流程。

立即注冊 AWS 賬戶(hù)，開(kāi)始使用 AWS Certificate Manager。

SSL/TLS 證書(shū)有哪些類(lèi)型？

SSL/TLS 證書(shū)因驗證和域而異。具有不同驗證級別的證書(shū)分為：

擴展驗證證書(shū)

組織驗證的證書(shū)

域驗證的證書(shū)

支持不同域類(lèi)型的 SSL/TLS 證書(shū)包括：

單域證書(shū)

通配符證書(shū)

多域證書(shū)

擴展驗證證書(shū)

擴展驗證證書(shū)（EV SSL/TLS）是一種具有最高級別的加密、驗證和信任的數字證書(shū)。申請 EV SSL/TLS 時(shí)，組織或 Web 所有者將受到證書(shū)頒發(fā)機構的嚴格檢查。包括驗證實(shí)際營(yíng)業(yè)地址、正確的證書(shū)申請以及使用域的專(zhuān)有權利。

企業(yè)使用 EV SSL/TLS 來(lái)保護用戶(hù)免受未經(jīng)授權第三方的攻擊。當公司處理網(wǎng)站上的敏感數據（例如財務(wù)交易和醫療記錄）時(shí)，這一點(diǎn)很重要。EV SSL/TLS 證書(shū)包含企業(yè)組織的詳細信息，可在瀏覽器上查看。

組織驗證證書(shū)

在驗證和信任方面，組織驗證證書(shū)（OV SSL/TLS）僅次于 EV SSL/TLS。與 EV SSL/TLS 一樣，公司在申請 OV SSL/TLS 時(shí)必須經(jīng)過(guò)驗證過(guò)程。雖然審查過(guò)程不那么嚴格，但申請人必須向認證機構證明域所有權。

OV SSL/TLS 證書(shū)包含經(jīng)過(guò)驗證的企業(yè)信息，可以在瀏覽器上進(jìn)行檢查。前沿企業(yè)和商業(yè)企業(yè)使用 OV SSL/TLS 證書(shū)在客戶(hù)之間建立信任。OV SSL/TLS 提供強大的加密功能，以保護客戶(hù)瀏覽 Web 時(shí)的隱私。

域驗證證書(shū)

域驗證證書(shū)（DV SSL/TLS）是驗證級別最低的數字證書(shū)。其申請費用也最低。與 EV SLL 和 OV SSL/TLS 不同，DV 證書(shū)申請人的審查過(guò)程不那么嚴格。申請人通過(guò)回復驗證電子郵件或電話(huà)來(lái)證明域所有權。

DV 證書(shū)不包含申請人組織或企業(yè)的完整信息。因此，它不能為用戶(hù)提供高度的安全保證。DV 證書(shū)適用于信息網(wǎng)站，例如博客。對于支付網(wǎng)關(guān)、醫療保健企業(yè)或其他處理敏感數據的網(wǎng)站，它們并不理想。

單域 SSL/TLS 證書(shū)

單域 SSL/TLS 證書(shū)是僅保護一個(gè)域或子域的 SSL/TLS 證書(shū)。域是網(wǎng)站的主 URL 或地址，例如 amazon.com。子域是在主域之前帶有擴展文本的網(wǎng)址，例如 aws.amazon.com。

例如，您可以在 http://example.com 上使用單域 SSL/TLS 證書(shū)。但是，您不能同時(shí)使用 http://example.com 和 sub.example.com 的證書(shū)。

通配符 SSL/TLS 證書(shū)

通配符 SSL/TLS 證書(shū)是一種保護域及其所有子域的 SSL/TLS 證書(shū)。例如，您可以使用通配符 SSL/TLS 證書(shū)來(lái)保護 http://example.com、blog.example.com 和 shop.example.com。

多域 SSL/TLS 證書(shū)

多域證書(shū)也稱(chēng)為統一通信證書(shū)。多域 SSL/TLS 證書(shū)為托管在具有相同所有權的相同或不同服務(wù)器上的多個(gè)域名提供 SSL/TLS 保護。例如，您為 http://example1.com、domain2.co.uk、shop.business3.com 和 chat.message.au 購買(mǎi)多域證書(shū)。