什么是 SSL/TLS 證書？

SSL/TLS 證書是一個數(shù)字對象，它允許系統(tǒng)驗證身份，然后使用安全套接字層/傳輸層安全性（SSL/TLS）協(xié)議建立到另一個系統(tǒng)的加密網(wǎng)絡(luò)連接。證書在名為公有密鑰基礎(chǔ)設(shè)施 (PKI) 的加密系統(tǒng)中使用。通過 PKI，在雙方都信任同一個第三方（稱為證書頒發(fā)機構(gòu)）的情況下，一方可以確認使用證書的另一方的身份。SSL/TLS 證書可用作數(shù)字身份證來保護網(wǎng)絡(luò)通信的安全，確認網(wǎng)站在互聯(lián)網(wǎng)上的身份以及資源在私有網(wǎng)絡(luò)上的身份。

為什么 SSL/TLS 證書很重要？

SSL/TLS 證書在網(wǎng)站用戶之間建立信任。企業(yè)在 Web 服務(wù)器上安裝 SSL/TLS 證書，以創(chuàng)建受 SSL/TLS 保護的網(wǎng)站。受 SSL/TLS 保護的網(wǎng)頁的特征如下：

Web 瀏覽器中的掛鎖圖標和綠色地址欄

瀏覽器網(wǎng)站地址中的 https 前綴

有效的 SSL/TLS 證書。您可以通過單擊并展開 URL 地址欄中的掛鎖圖標來檢查 SSL/TLS 證書是否有效

建立加密連接后，只有客戶端和 Web 服務(wù)器才能看到發(fā)送的數(shù)據(jù)。

我們在下面列舉了 SSL/TLS 證書的一些好處。

保護私人數(shù)據(jù)

瀏覽器會驗證任何網(wǎng)站的 SSL/TLS 證書，以啟動和維護與網(wǎng)站服務(wù)器的安全連接。SSL/TLS 技術(shù)有助于確保您的瀏覽器和網(wǎng)站之間的所有通信都得到加密。

增強客戶信心

精通互聯(lián)網(wǎng)的客戶了解隱私的重要性，并希望信任他們正在訪問的網(wǎng)站。受SSL/TLS保護的網(wǎng)站帶有綠色掛鎖圖標，客戶認為這是安全的。SSL/TLS 保護可幫助客戶在與您的企業(yè)共享數(shù)據(jù)時知道其數(shù)據(jù)受到保護。

支持合規(guī)性

有些企業(yè)必須遵守有關(guān)數(shù)據(jù)機密性和保護的行業(yè)法規(guī)。例如，支付卡行業(yè)的企業(yè)必須遵守PCI DSS。PCI DSS 是提供安全在線交易的行業(yè)要求，包括使用 SSL/TLS 證書保護 Web 服務(wù)器。

改進 SEO

主要的搜索引擎已將 SSL/TLS 保護作為搜索引擎優(yōu)化的排名因素。受SSL/TLS保護的網(wǎng)站在搜索引擎上的排名可能會高于沒有SSL/TLS證書的類似網(wǎng)站。這增加了搜索引擎訪問受 SSL/TLS 保護的網(wǎng)站的訪問者。

SSL/TLS 證書技術(shù)的主要原則是什么？

SSL/TLS 代表安全套接字層和傳輸層安全性。它是一種協(xié)議或通信規(guī)則，允許計算機系統(tǒng)在互聯(lián)網(wǎng)上安全地相互通信。SSL/TLS 證書使 Web 瀏覽器能夠標識使用 SSL/TLS 協(xié)議的網(wǎng)站并與之建立加密的網(wǎng)絡(luò)連接。

加密

加密意味著對原始消息進行加密，使其只能由預期的接收人解密。例如，通過將每個字母按照字母表中的順序向前移動兩位，將單詞cat更改為ecv。接收人知道規(guī)則（或密鑰），將每個字母向后移動兩位以閱讀實際的單詞。SSL/TLS 加密以此概念為基礎(chǔ)，使用公有密鑰加密，使用兩個不同的密鑰來加密和解密消息。 通過 PKI，在雙方都信任同一個第三方（稱為證書頒發(fā)機構(gòu)）的情況下，一方可以確認使用證書的另一方的身份。在通信開始之前，證書頒發(fā)機構(gòu)會驗證證書并對雙方進行身份驗證。

兩種類型的密鑰是：

公有密鑰

瀏覽器和 Web 服務(wù)器通過使用公有密鑰和私有密鑰對對信息進行編碼和解碼來進行通信。公有密鑰是 Web 服務(wù)器在 SSL/TLS 證書中提供給瀏覽器的加密密鑰。在將信息發(fā)送到 Web 服務(wù)器之前，瀏覽器使用該密鑰對信息進行加密。

私有密鑰

只有 Web 服務(wù)器擁有私有密鑰。使用私有密鑰加密的文件只能用公有密鑰解密，反之亦然。如果公有密鑰只能解密已使用私有密鑰加密的文件，那么能夠解密該文件就可以確保預期的接收者和發(fā)送者是他們聲稱的真實身份。

身份驗證

服務(wù)器將 SSL/TLS 證書中的公有密鑰發(fā)送到瀏覽器。瀏覽器會驗證來自受信任第三方的證書。因此，它可以驗證 Web 服務(wù)器是否是它聲稱的身份。

數(shù)字簽名

數(shù)字簽名是每個 SSL/TLS 證書的唯一編號。接收人生成新的數(shù)字簽名并將其與原始簽名進行比較，以確保外部各方在證書通過網(wǎng)絡(luò)傳輸時不會篡改證書。

誰驗證 SSL/TLS 證書？

證書頒發(fā)機構(gòu)（CA）是向 Web 所有者、Web 托管公司或企業(yè)出售 SSL/TLS 證書的組織。在頒發(fā) SSL/TLS 證書之前，CA 會驗證域和所有者的詳細信息。要成為 CA，組織必須滿足操作系統(tǒng)、瀏覽器或移動設(shè)備公司設(shè)定的特定要求，并申請被列為根證書頒發(fā)機構(gòu)。這對于在互聯(lián)網(wǎng)用戶之間建立信任非常重要。例如，Amazon Trust Services 是一個證書頒發(fā)機構(gòu)，可以向網(wǎng)站頒發(fā) SSL/TLS 證書。

SSL/TLS 證書的有效期是多久？

SSL/TLS 證書的最長有效期為 13 個月。隨著時間的推移，SSL/TLS 證書的有效性會逐漸降低。這樣做的目的是減少影響企業(yè)和 Web 用戶的安全風險。例如，不受信任的第三方可能會使用來自過期域的有效 SSL/TLS 證書來創(chuàng)建未經(jīng)授權(quán)的網(wǎng)站。

通過縮短有效期，減少了濫用 SSL/TLS 證書的機會。當 SSL/TLS 證書過期時，Web 訪問者會在瀏覽器上收到一條警告，告知網(wǎng)站不安全。組織撤銷舊的 SSL/TLS 證書，并將其替換為續(xù)訂的證書。續(xù)訂過程需要在以前的證書過期之前進行，以避免發(fā)生安全事件。

SSL/TLS 證書中包含哪些內(nèi)容？

SSL/TLS 證書包含以下信息。

域名

證書頒發(fā)機構(gòu)

證書頒發(fā)機構(gòu)的數(shù)字簽名

頒發(fā)日期

到期日期

公有密鑰

SSL/TLS 版本

TLS 代表傳輸層安全性。它是 SSL/TLS 協(xié)議版本 3.0 的繼承和延續(xù)。SSL/TLS 和 TLS 之間僅存在細微的技術(shù)差異。與 SSL/TLS 一樣，TLS 在瀏覽器和 Web 服務(wù)器之間提供加密的數(shù)據(jù)傳輸通道?，F(xiàn)代 SSL/TLS 證書使用 TLS 協(xié)議而不是 SSL/TLS，但是安全專家仍然習慣使用 SSL/TLS 這個縮寫。雖然不完全相同，但術(shù)語 SSL 和 TLS 通常用來表示相同的意思。他們也可能將加密協(xié)議稱為 SSL/TLS。

SSL/TLS 證書如何工作？

瀏覽器使用 SSL/TLS 證書通過 SSL/TLS 握手啟動與 Web 服務(wù)器的安全連接。SSL/TLS 握手是安全超文本傳輸協(xié)議（HTTPS）通信技術(shù)的一部分。它是 HTTP 和 SSL/TLS 的組合。HTTP 是 Web 瀏覽器用來將純文本信息發(fā)送到 Web 服務(wù)器的協(xié)議。HTTP 傳輸未加密的數(shù)據(jù)，這意味著從瀏覽器發(fā)送的信息可能會被第三方攔截和讀取。瀏覽器使用 HTTP 和 SSL/TLS，或使用 HTTPS 進行完全安全的通信。

SSL/TLS 握手

SSL/TLS 握手包括以下步驟：

瀏覽器會打開一個 SSL/TLS 安全網(wǎng)站并連接到 Web 服務(wù)器。

瀏覽器嘗試通過請求可識別信息來驗證 Web 服務(wù)器的真實性。

Web 服務(wù)器發(fā)送包含公鑰的 SSL/TLS 證書作為回復。

瀏覽器會驗證 SSL/TLS 證書，確保其有效且與網(wǎng)站域名匹配。一旦瀏覽器對 SSL/TLS 證書感到滿意，它就會使用公鑰加密并發(fā)送包含秘密會話密鑰的消息。

Web 服務(wù)器使用其私鑰解密消息并檢索會話密鑰。然后，它使用會話密鑰加密并向瀏覽器發(fā)送確認消息。

現(xiàn)在，瀏覽器和 Web 服務(wù)器都切換到使用相同的會話密鑰來安全地交換消息。

會話密鑰

會話密鑰在初始 SSL/TLS 身份驗證完成后保持瀏覽器和 Web 服務(wù)器之間的加密通信。會話密鑰是用于對稱加密的密碼密鑰。對稱加密使用相同的密鑰進行加密和解密。非對稱密碼學占用了巨大的計算能力。因此，Web 服務(wù)器切換到對稱加密，需要較少的計算來維護 SSL/TLS 連接。

什么是 AWS Certificate Manager？

AWS Certificate Manager（ACM）是一項服務(wù)，可幫助您輕松地預調(diào)配、管理和部署公有和私有 SSL/TLS 證書，以便用于 AWS 產(chǎn)品和您的內(nèi)部互聯(lián)資源。使用該服務(wù)，您無需再為購買、上傳和續(xù)訂 SSL/TLS 證書而經(jīng)歷耗時的手動流程。相反，您可以快速請求證書，在與 ACM 集成的 AWS 資源（例如 Elastic Load Balancing、Amazon CloudFront 分配或 Amazon API Gateway 上的 API）上部署該證書，并讓 AWS Certificate Manager 處理證書續(xù)訂事宜。它還讓您能夠為內(nèi)部資源創(chuàng)建私有證書并集中管理證書生命周期。

組織使用 ACM 簡化 SSL/TLS 證書的申請、部署和續(xù)訂。只需單擊幾下即可創(chuàng)建 ACM 托管的 SSL/TLS 證書，而不是生成證書簽名請求（CSR）并將其提交給證書頒發(fā)機構(gòu)的傳統(tǒng)流程。

立即注冊 AWS 賬戶，開始使用 AWS Certificate Manager。

SSL/TLS 證書有哪些類型？

SSL/TLS 證書因驗證和域而異。具有不同驗證級別的證書分為：

擴展驗證證書

組織驗證的證書

域驗證的證書

支持不同域類型的 SSL/TLS 證書包括：

單域證書

通配符證書

多域證書

擴展驗證證書

擴展驗證證書（EV SSL/TLS）是一種具有最高級別的加密、驗證和信任的數(shù)字證書。申請 EV SSL/TLS 時，組織或 Web 所有者將受到證書頒發(fā)機構(gòu)的嚴格檢查。包括驗證實際營業(yè)地址、正確的證書申請以及使用域的專有權(quán)利。

企業(yè)使用 EV SSL/TLS 來保護用戶免受未經(jīng)授權(quán)第三方的攻擊。當公司處理網(wǎng)站上的敏感數(shù)據(jù)（例如財務(wù)交易和醫(yī)療記錄）時，這一點很重要。EV SSL/TLS 證書包含企業(yè)組織的詳細信息，可在瀏覽器上查看。

組織驗證證書

在驗證和信任方面，組織驗證證書（OV SSL/TLS）僅次于 EV SSL/TLS。與 EV SSL/TLS 一樣，公司在申請 OV SSL/TLS 時必須經(jīng)過驗證過程。雖然審查過程不那么嚴格，但申請人必須向認證機構(gòu)證明域所有權(quán)。

OV SSL/TLS 證書包含經(jīng)過驗證的企業(yè)信息，可以在瀏覽器上進行檢查。前沿企業(yè)和商業(yè)企業(yè)使用 OV SSL/TLS 證書在客戶之間建立信任。OV SSL/TLS 提供強大的加密功能，以保護客戶瀏覽 Web 時的隱私。

域驗證證書

域驗證證書（DV SSL/TLS）是驗證級別最低的數(shù)字證書。其申請費用也最低。與 EV SLL 和 OV SSL/TLS 不同，DV 證書申請人的審查過程不那么嚴格。申請人通過回復驗證電子郵件或電話來證明域所有權(quán)。

DV 證書不包含申請人組織或企業(yè)的完整信息。因此，它不能為用戶提供高度的安全保證。DV 證書適用于信息網(wǎng)站，例如博客。對于支付網(wǎng)關(guān)、醫(yī)療保健企業(yè)或其他處理敏感數(shù)據(jù)的網(wǎng)站，它們并不理想。

單域 SSL/TLS 證書

單域 SSL/TLS 證書是僅保護一個域或子域的 SSL/TLS 證書。域是網(wǎng)站的主 URL 或地址，例如 amazon.com。子域是在主域之前帶有擴展文本的網(wǎng)址，例如 aws.amazon.com。

例如，您可以在 http://example.com 上使用單域 SSL/TLS 證書。但是，您不能同時使用 http://example.com 和 sub.example.com 的證書。

通配符 SSL/TLS 證書

通配符 SSL/TLS 證書是一種保護域及其所有子域的 SSL/TLS 證書。例如，您可以使用通配符 SSL/TLS 證書來保護 http://example.com、blog.example.com 和 shop.example.com。

多域 SSL/TLS 證書

多域證書也稱為統(tǒng)一通信證書。多域 SSL/TLS 證書為托管在具有相同所有權(quán)的相同或不同服務(wù)器上的多個域名提供 SSL/TLS 保護。例如，您為 http://example1.com、domain2.co.uk、shop.business3.com 和 chat.message.au 購買多域證書。