什么是 SSL 证书?

SSL 证书显示用于验证网站所有者和使用 SSL/TLS 加密 Web 流量的重要信息,包括公钥、证书颁发机构和关联的子域。

学习目标

阅读本文后,您将能够:

  • 了解什么是 SSL 证书
  • 了解 SSL 证书中记录的数据
  • 说明为什么需要 SSL/TLS 加密
  • 了解如何获取免费的 SSL 证书

相关内容


想要继续学习吗?

欢迎注册以接收来自 Cloudflare 的安全学习文章。

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

Increase security and trust using Cloudflare's free SSL / TLS

什么是 SSL 证书?

SSL 证书安全浏览

SSL certificates are what enable websites to use HTTPS, which is more secure than HTTP. An SSL certificate is a data file hosted in a website's origin server. SSL certificates make SSL/TLS encryption possible, and they contain the website's public key and the website's identity, along with related information.

Devices attempting to communicate with the origin server will reference this file to obtain the public key and verify the server's identity. The private key is kept secret and secure.

什么是 SSL?

SSL(通常称为 TLS)是用于加密互联网流量和验证服务器身份的协议。任何具有 HTTPS 网址的网站都使用 SSL/TLS。请参阅什么是 SSL?什么是 TLS?来了解更多信息。

SSL证书是如何工作的?

SSL证书在一个数据文件中包括以下信息:

  • 针对其颁发证书的域名
  • 证书颁发给哪一个人、组织或设备
  • 证书由哪一证书颁发机构颁发
  • 证书颁发机构的数字签名
  • 关联的子域
  • 证书的颁发日期
  • 证书的到期日期
  • 公钥(私钥为保密状态)

用于 SSL 的公钥和私钥本质上是用于加密和签署数据的长字符串。使用公钥加密的数据只能用私钥解密。

该证书托管在一个网站的源服务器上,并被发送到任何请求加载该网站的设备上。 大多数浏览器都允许用户查看SSL证书:在Chrome浏览器中,可以通过点击URL栏左侧的挂锁图标来实现。

为什么网站需要 SSL 证书?

网站需要 SSL 证书,以确保用户数据的安全,验证网站的所有权,防止攻击者创建站点的虚假版本,并且获得用户信任。

加密:SSL/TLS 加密之所以可行,是因为 SSL 证书促成了公钥私钥配对。客户端(例如 Web 浏览器)从服务器的 SSL 证书获取打开 TLS 连接所需的公钥。

身份验证:SSL 证书可验证客户端正在与实际拥有该域的正确服务器进行通信。这有助于防止域欺骗和其他类型的攻击。

HTTPS:对企业而言,HTTPS 网址必须使用 SSL证书,这一点最为重要。HTTPS 是 HTTP 的安全形式,HTTPS 网站是通过 SSL/TLS 加密流量的网站。

除了在传输过程中保护用户数据外,HTTPS 还使站点更值得用户信赖。许多用户不会注意到以 http:// 和 https:// 开头的网址的区别,但大多数浏览器都使用醒目的方式将 HTTP 站点标记为“不安全”,并且尝试为切换到 HTTPS 和增强安全性提供奖励。

SSL 证书非安全浏览

网站如何获取 SSL 证书?

为了使 SSL 证书有效,域需要从证书颁发机构(CA)获取该证书。CA 是外部组织,也是受信任的第三方,它会生成并颁发 SSL 证书。CA 还使用自己的私钥对证书进行数字签名,以允许客户端设备对其进行验证。大多数(但不是全部)CA 为颁发 SSL 证书收取费用。

颁发之后,需要在网站的源站服务器上安装并激活证书。网站托管服务通常可以为网站运营者处理这一事务。在源站服务器上激活证书后,该网站便可通过 HTTPS 进行加载,并且往返于该网站的所有流量都将受到加密和保护。

什么是自签名 SSL 证书?

从技术上讲,任何人都可以通过生成公私钥对并包括上述所有信息来创建自己的 SSL 证书。此类证书称为自签名证书,因为使用的数字签名将是网站自己的私钥,而不是来自 CA。

但若使用自签名证书,就没有外部权威来验证源站服务器是否是它声称的身份。浏览器认为自签名证书不可信,并且尽管使用了 https:// URL,但可能仍然将站点标记为“不安全”。它们也可能会完全终止连接,从而阻止网站加载。

是否可以获得免费的 SSL 证书?

Cloudflare 提供免费的 SSL/TLS 加密,是第一家这样做的公司,于 2014 年 9 月推出了 Universal SSL。SSL 的免费版本可在多个客户域之间共享 SSL 证书。Cloudflare 还为企业客户提供自定义 SSL 证书。

要获得免费的SSL证书,域名所有者需要注册Cloudflare,并在其SSL设置中选择一个SSL选项。 这篇文章对用Cloudflare设置SSL有进一步说明

为什么 Cloudflare 提供免费的 SSL 证书?

Cloudflare 能够免费提供 SSL,因为它的全球分布式 CDN 拥有高效的代理服务器,它们在世界各地的数据中心中运行。Cloudflare 的使命是帮助提高 Internet 的安全性,而 HTTPS 的广泛采用是实现这一目标的重要步骤。SSL/TLS 加密可保护用户数据,预防攻击,并使 Internet 在总体上更加安全。