什么是 SSL/TLS 證書？

SSL/TLS 證書是一個(gè)數(shù)字對(duì)象，它允許系統(tǒng)驗(yàn)證身份，然后使用安全套接字層/傳輸層安全性（SSL/TLS）協(xié)議建立到另一個(gè)系統(tǒng)的加密網(wǎng)絡(luò)連接。證書在名為公有密鑰基礎(chǔ)設(shè)施 (PKI) 的加密系統(tǒng)中使用。通過 PKI，在雙方都信任同一個(gè)第三方（稱為證書頒發(fā)機(jī)構(gòu)）的情況下，一方可以確認(rèn)使用證書的另一方的身份。SSL/TLS 證書可用作數(shù)字身份證來保護(hù)網(wǎng)絡(luò)通信的安全，確認(rèn)網(wǎng)站在互聯(lián)網(wǎng)上的身份以及資源在私有網(wǎng)絡(luò)上的身份。

為什么 SSL/TLS 證書很重要？

SSL/TLS 證書在網(wǎng)站用戶之間建立信任。企業(yè)在 Web 服務(wù)器上安裝 SSL/TLS 證書，以創(chuàng)建受 SSL/TLS 保護(hù)的網(wǎng)站。受 SSL/TLS 保護(hù)的網(wǎng)頁的特征如下：

Web 瀏覽器中的掛鎖圖標(biāo)和綠色地址欄

瀏覽器網(wǎng)站地址中的 https 前綴

有效的 SSL/TLS 證書。您可以通過單擊并展開 URL 地址欄中的掛鎖圖標(biāo)來檢查 SSL/TLS 證書是否有效

建立加密連接后，只有客戶端和 Web 服務(wù)器才能看到發(fā)送的數(shù)據(jù)。

我們?cè)谙旅媪信e了 SSL/TLS 證書的一些好處。

保護(hù)私人數(shù)據(jù)

瀏覽器會(huì)驗(yàn)證任何網(wǎng)站的 SSL/TLS 證書，以啟動(dòng)和維護(hù)與網(wǎng)站服務(wù)器的安全連接。SSL/TLS 技術(shù)有助于確保您的瀏覽器和網(wǎng)站之間的所有通信都得到加密。

增強(qiáng)客戶信心

精通互聯(lián)網(wǎng)的客戶了解隱私的重要性，并希望信任他們正在訪問的網(wǎng)站。受SSL/TLS保護(hù)的網(wǎng)站帶有綠色掛鎖圖標(biāo)，客戶認(rèn)為這是安全的。SSL/TLS 保護(hù)可幫助客戶在與您的企業(yè)共享數(shù)據(jù)時(shí)知道其數(shù)據(jù)受到保護(hù)。

支持合規(guī)性

有些企業(yè)必須遵守有關(guān)數(shù)據(jù)機(jī)密性和保護(hù)的行業(yè)法規(guī)。例如，支付卡行業(yè)的企業(yè)必須遵守PCI DSS。PCI DSS 是提供安全在線交易的行業(yè)要求，包括使用 SSL/TLS 證書保護(hù) Web 服務(wù)器。

改進(jìn) SEO

主要的搜索引擎已將 SSL/TLS 保護(hù)作為搜索引擎優(yōu)化的排名因素。受SSL/TLS保護(hù)的網(wǎng)站在搜索引擎上的排名可能會(huì)高于沒有SSL/TLS證書的類似網(wǎng)站。這增加了搜索引擎訪問受 SSL/TLS 保護(hù)的網(wǎng)站的訪問者。

SSL/TLS 證書技術(shù)的主要原則是什么？

SSL/TLS 代表安全套接字層和傳輸層安全性。它是一種協(xié)議或通信規(guī)則，允許計(jì)算機(jī)系統(tǒng)在互聯(lián)網(wǎng)上安全地相互通信。SSL/TLS 證書使 Web 瀏覽器能夠標(biāo)識(shí)使用 SSL/TLS 協(xié)議的網(wǎng)站并與之建立加密的網(wǎng)絡(luò)連接。

加密

加密意味著對(duì)原始消息進(jìn)行加密，使其只能由預(yù)期的接收人解密。例如，通過將每個(gè)字母按照字母表中的順序向前移動(dòng)兩位，將單詞cat更改為ecv。接收人知道規(guī)則（或密鑰），將每個(gè)字母向后移動(dòng)兩位以閱讀實(shí)際的單詞。SSL/TLS 加密以此概念為基礎(chǔ)，使用公有密鑰加密，使用兩個(gè)不同的密鑰來加密和解密消息。 通過 PKI，在雙方都信任同一個(gè)第三方（稱為證書頒發(fā)機(jī)構(gòu)）的情況下，一方可以確認(rèn)使用證書的另一方的身份。在通信開始之前，證書頒發(fā)機(jī)構(gòu)會(huì)驗(yàn)證證書并對(duì)雙方進(jìn)行身份驗(yàn)證。

兩種類型的密鑰是：

公有密鑰

瀏覽器和 Web 服務(wù)器通過使用公有密鑰和私有密鑰對(duì)對(duì)信息進(jìn)行編碼和解碼來進(jìn)行通信。公有密鑰是 Web 服務(wù)器在 SSL/TLS 證書中提供給瀏覽器的加密密鑰。在將信息發(fā)送到 Web 服務(wù)器之前，瀏覽器使用該密鑰對(duì)信息進(jìn)行加密。

私有密鑰

只有 Web 服務(wù)器擁有私有密鑰。使用私有密鑰加密的文件只能用公有密鑰解密，反之亦然。如果公有密鑰只能解密已使用私有密鑰加密的文件，那么能夠解密該文件就可以確保預(yù)期的接收者和發(fā)送者是他們聲稱的真實(shí)身份。

身份驗(yàn)證

服務(wù)器將 SSL/TLS 證書中的公有密鑰發(fā)送到瀏覽器。瀏覽器會(huì)驗(yàn)證來自受信任第三方的證書。因此，它可以驗(yàn)證 Web 服務(wù)器是否是它聲稱的身份。

數(shù)字簽名

數(shù)字簽名是每個(gè) SSL/TLS 證書的唯一編號(hào)。接收人生成新的數(shù)字簽名并將其與原始簽名進(jìn)行比較，以確保外部各方在證書通過網(wǎng)絡(luò)傳輸時(shí)不會(huì)篡改證書。

誰驗(yàn)證 SSL/TLS 證書？

證書頒發(fā)機(jī)構(gòu)（CA）是向 Web 所有者、Web 托管公司或企業(yè)出售 SSL/TLS 證書的組織。在頒發(fā) SSL/TLS 證書之前，CA 會(huì)驗(yàn)證域和所有者的詳細(xì)信息。要成為 CA，組織必須滿足操作系統(tǒng)、瀏覽器或移動(dòng)設(shè)備公司設(shè)定的特定要求，并申請(qǐng)被列為根證書頒發(fā)機(jī)構(gòu)。這對(duì)于在互聯(lián)網(wǎng)用戶之間建立信任非常重要。例如，Amazon Trust Services 是一個(gè)證書頒發(fā)機(jī)構(gòu)，可以向網(wǎng)站頒發(fā) SSL/TLS 證書。

SSL/TLS 證書的有效期是多久？

SSL/TLS 證書的最長(zhǎng)有效期為 13 個(gè)月。隨著時(shí)間的推移，SSL/TLS 證書的有效性會(huì)逐漸降低。這樣做的目的是減少影響企業(yè)和 Web 用戶的安全風(fēng)險(xiǎn)。例如，不受信任的第三方可能會(huì)使用來自過期域的有效 SSL/TLS 證書來創(chuàng)建未經(jīng)授權(quán)的網(wǎng)站。

通過縮短有效期，減少了濫用 SSL/TLS 證書的機(jī)會(huì)。當(dāng) SSL/TLS 證書過期時(shí)，Web 訪問者會(huì)在瀏覽器上收到一條警告，告知網(wǎng)站不安全。組織撤銷舊的 SSL/TLS 證書，并將其替換為續(xù)訂的證書。續(xù)訂過程需要在以前的證書過期之前進(jìn)行，以避免發(fā)生安全事件。

SSL/TLS 證書中包含哪些內(nèi)容？

SSL/TLS 證書包含以下信息。

域名

證書頒發(fā)機(jī)構(gòu)

證書頒發(fā)機(jī)構(gòu)的數(shù)字簽名

頒發(fā)日期

到期日期

公有密鑰

SSL/TLS 版本

TLS 代表傳輸層安全性。它是 SSL/TLS 協(xié)議版本 3.0 的繼承和延續(xù)。SSL/TLS 和 TLS 之間僅存在細(xì)微的技術(shù)差異。與 SSL/TLS 一樣，TLS 在瀏覽器和 Web 服務(wù)器之間提供加密的數(shù)據(jù)傳輸通道?，F(xiàn)代 SSL/TLS 證書使用 TLS 協(xié)議而不是 SSL/TLS，但是安全專家仍然習(xí)慣使用 SSL/TLS 這個(gè)縮寫。雖然不完全相同，但術(shù)語 SSL 和 TLS 通常用來表示相同的意思。他們也可能將加密協(xié)議稱為 SSL/TLS。

SSL/TLS 證書如何工作？

瀏覽器使用 SSL/TLS 證書通過 SSL/TLS 握手啟動(dòng)與 Web 服務(wù)器的安全連接。SSL/TLS 握手是安全超文本傳輸協(xié)議（HTTPS）通信技術(shù)的一部分。它是 HTTP 和 SSL/TLS 的組合。HTTP 是 Web 瀏覽器用來將純文本信息發(fā)送到 Web 服務(wù)器的協(xié)議。HTTP 傳輸未加密的數(shù)據(jù)，這意味著從瀏覽器發(fā)送的信息可能會(huì)被第三方攔截和讀取。瀏覽器使用 HTTP 和 SSL/TLS，或使用 HTTPS 進(jìn)行完全安全的通信。

SSL/TLS 握手

SSL/TLS 握手包括以下步驟：

瀏覽器會(huì)打開一個(gè) SSL/TLS 安全網(wǎng)站并連接到 Web 服務(wù)器。

瀏覽器嘗試通過請(qǐng)求可識(shí)別信息來驗(yàn)證 Web 服務(wù)器的真實(shí)性。

Web 服務(wù)器發(fā)送包含公鑰的 SSL/TLS 證書作為回復(fù)。

瀏覽器會(huì)驗(yàn)證 SSL/TLS 證書，確保其有效且與網(wǎng)站域名匹配。一旦瀏覽器對(duì) SSL/TLS 證書感到滿意，它就會(huì)使用公鑰加密并發(fā)送包含秘密會(huì)話密鑰的消息。

Web 服務(wù)器使用其私鑰解密消息并檢索會(huì)話密鑰。然后，它使用會(huì)話密鑰加密并向?yàn)g覽器發(fā)送確認(rèn)消息。

現(xiàn)在，瀏覽器和 Web 服務(wù)器都切換到使用相同的會(huì)話密鑰來安全地交換消息。

會(huì)話密鑰

會(huì)話密鑰在初始 SSL/TLS 身份驗(yàn)證完成后保持瀏覽器和 Web 服務(wù)器之間的加密通信。會(huì)話密鑰是用于對(duì)稱加密的密碼密鑰。對(duì)稱加密使用相同的密鑰進(jìn)行加密和解密。非對(duì)稱密碼學(xué)占用了巨大的計(jì)算能力。因此，Web 服務(wù)器切換到對(duì)稱加密，需要較少的計(jì)算來維護(hù) SSL/TLS 連接。

什么是 AWS Certificate Manager？

AWS Certificate Manager（ACM）是一項(xiàng)服務(wù)，可幫助您輕松地預(yù)調(diào)配、管理和部署公有和私有 SSL/TLS 證書，以便用于 AWS 產(chǎn)品和您的內(nèi)部互聯(lián)資源。使用該服務(wù)，您無需再為購(gòu)買、上傳和續(xù)訂 SSL/TLS 證書而經(jīng)歷耗時(shí)的手動(dòng)流程。相反，您可以快速請(qǐng)求證書，在與 ACM 集成的 AWS 資源（例如 Elastic Load Balancing、Amazon CloudFront 分配或 Amazon API Gateway 上的 API）上部署該證書，并讓 AWS Certificate Manager 處理證書續(xù)訂事宜。它還讓您能夠?yàn)閮?nèi)部資源創(chuàng)建私有證書并集中管理證書生命周期。

組織使用 ACM 簡(jiǎn)化 SSL/TLS 證書的申請(qǐng)、部署和續(xù)訂。只需單擊幾下即可創(chuàng)建 ACM 托管的 SSL/TLS 證書，而不是生成證書簽名請(qǐng)求（CSR）并將其提交給證書頒發(fā)機(jī)構(gòu)的傳統(tǒng)流程。

立即注冊(cè) AWS 賬戶，開始使用 AWS Certificate Manager。

SSL/TLS 證書有哪些類型？

SSL/TLS 證書因驗(yàn)證和域而異。具有不同驗(yàn)證級(jí)別的證書分為：

擴(kuò)展驗(yàn)證證書

組織驗(yàn)證的證書

域驗(yàn)證的證書

支持不同域類型的 SSL/TLS 證書包括：

單域證書

通配符證書

多域證書

擴(kuò)展驗(yàn)證證書

擴(kuò)展驗(yàn)證證書（EV SSL/TLS）是一種具有最高級(jí)別的加密、驗(yàn)證和信任的數(shù)字證書。申請(qǐng) EV SSL/TLS 時(shí)，組織或 Web 所有者將受到證書頒發(fā)機(jī)構(gòu)的嚴(yán)格檢查。包括驗(yàn)證實(shí)際營(yíng)業(yè)地址、正確的證書申請(qǐng)以及使用域的專有權(quán)利。

企業(yè)使用 EV SSL/TLS 來保護(hù)用戶免受未經(jīng)授權(quán)第三方的攻擊。當(dāng)公司處理網(wǎng)站上的敏感數(shù)據(jù)（例如財(cái)務(wù)交易和醫(yī)療記錄）時(shí)，這一點(diǎn)很重要。EV SSL/TLS 證書包含企業(yè)組織的詳細(xì)信息，可在瀏覽器上查看。

組織驗(yàn)證證書

在驗(yàn)證和信任方面，組織驗(yàn)證證書（OV SSL/TLS）僅次于 EV SSL/TLS。與 EV SSL/TLS 一樣，公司在申請(qǐng) OV SSL/TLS 時(shí)必須經(jīng)過驗(yàn)證過程。雖然審查過程不那么嚴(yán)格，但申請(qǐng)人必須向認(rèn)證機(jī)構(gòu)證明域所有權(quán)。

OV SSL/TLS 證書包含經(jīng)過驗(yàn)證的企業(yè)信息，可以在瀏覽器上進(jìn)行檢查。前沿企業(yè)和商業(yè)企業(yè)使用 OV SSL/TLS 證書在客戶之間建立信任。OV SSL/TLS 提供強(qiáng)大的加密功能，以保護(hù)客戶瀏覽 Web 時(shí)的隱私。

域驗(yàn)證證書

域驗(yàn)證證書（DV SSL/TLS）是驗(yàn)證級(jí)別最低的數(shù)字證書。其申請(qǐng)費(fèi)用也最低。與 EV SLL 和 OV SSL/TLS 不同，DV 證書申請(qǐng)人的審查過程不那么嚴(yán)格。申請(qǐng)人通過回復(fù)驗(yàn)證電子郵件或電話來證明域所有權(quán)。

DV 證書不包含申請(qǐng)人組織或企業(yè)的完整信息。因此，它不能為用戶提供高度的安全保證。DV 證書適用于信息網(wǎng)站，例如博客。對(duì)于支付網(wǎng)關(guān)、醫(yī)療保健企業(yè)或其他處理敏感數(shù)據(jù)的網(wǎng)站，它們并不理想。

單域 SSL/TLS 證書

單域 SSL/TLS 證書是僅保護(hù)一個(gè)域或子域的 SSL/TLS 證書。域是網(wǎng)站的主 URL 或地址，例如 amazon.com。子域是在主域之前帶有擴(kuò)展文本的網(wǎng)址，例如 aws.amazon.com。

例如，您可以在 http://example.com 上使用單域 SSL/TLS 證書。但是，您不能同時(shí)使用 http://example.com 和 sub.example.com 的證書。

通配符 SSL/TLS 證書

通配符 SSL/TLS 證書是一種保護(hù)域及其所有子域的 SSL/TLS 證書。例如，您可以使用通配符 SSL/TLS 證書來保護(hù) http://example.com、blog.example.com 和 shop.example.com。

多域 SSL/TLS 證書

多域證書也稱為統(tǒng)一通信證書。多域 SSL/TLS 證書為托管在具有相同所有權(quán)的相同或不同服務(wù)器上的多個(gè)域名提供 SSL/TLS 保護(hù)。例如，您為 http://example1.com、domain2.co.uk、shop.business3.com 和 chat.message.au 購(gòu)買多域證書。