行业新闻与博客

SSL 证书（或 TLS 证书）是将加密密钥绑定到组织详细信息的数字证书。安全套接字层 (SSL) 是加密协议，旨在加密服务器和 Web 浏览器之间的通信。 

虽然 SSL 证书安装在服务器端，但浏览器中会出现显示 SSL 保护的视觉提示。如果存在 SSL，您可能会在地址栏中看到 https://、挂锁、绿色地址栏或三者的组合。

SSL 可保护您与 Web 服务器的连接并加密所有传输的数据。 

加密数据可以降低 中间人攻击 或许多其他形式的 网络攻击 的 网络安全风险。传统上，SSL 已用于保护电子商务网站上的信用卡信息、个人数据传输以及社交媒体网站的安全。

如今，即使网站不处理 敏感数据或个人身份信息 (PII) 等敏感信息 ，Google 等搜索引擎也已在各处呼吁使用 HTTPS 。HTTPS 不仅提供关键的 信息安全性 和数据完整性，而且是渐进式 Web 应用程序 (PWA) 等许多新 Web 浏览器功能的要求。

什么是传输层安全 (TLS)？

传输层安全性 (TLS) 是安全套接字层 (SSL) 的后继者，并且通常可以互换使用。将其视为更安全的 SSL 版本。尽管新证书使用 TLS（RSA 或 ECC），但安全证书通常仍被称为 SSL 证书。 

与 SSL 一样，TLS 可以在两个或多个通信应用程序之间提供隐私和数据完整性。当受 TLS 保护时，浏览器和服务器之间的连接必须具有以下一项或多项属性：

• 该连接通过对称加密技术进行保护。对称加密的密钥对于每个连接都是唯一的，基于在会话开始时通过 TLS 握手协商的共享搜索。服务器和您的浏览器在传输数据之前协商使用哪种加密算法和加密密钥的详细信息。共享秘密的协商是安全的（防止窃听）和可靠的（攻击者无法在不被发现的情况下修改消息，防止 中间人攻击）。
• 通信方（例如您和 UpGuard.com）的身份可以使用公钥加密技术进行身份验证。公钥被广泛传播，而私钥只有所有者知道。任何人都可以使用接收者的公钥加密消息，但只有他们的私钥可以解密。身份验证可以是可选的，但通常至少有一方（通常是服务器）需要身份验证。
• 连接是可靠的，因为每个传输的消息都使用消息验证码 (Mac) 进行完整性检查，从而防止未检测到的数据丢失或操纵。Mac 是一段简短的信息，用于确认消息来自指定的发送者并且未被更改。这可以保护数据的完整性和真实性。

此外，TLS 的配置可以提供额外的隐私相关优势，例如前向保密。前向保密确保未来会话密钥的泄露只会危害特定会话。这是通过为每个会话生成唯一密钥来实现的，因此单个会话密钥的泄露不会影响任何其他会话中交换的数据。 

什么是安全超文本传输协议 (HTTPS)？

安全超文本传输协议 (HTTPS) 是超文本传输协议 (HTTP) 的扩展。它用于通过网络安全地传输数据。在 HTTPS 中，通信使用 TLS 加密。

HTTPS 提供对所访问网站的身份验证，保护交换数据的隐私和完整性。它还可以防止 中间人攻击， 例如窃听和篡改传输数据。由于 HTTPS 在 TLS 之上搭载 HTTP，因此整个 HTTP 协议都经过加密，包括请求的 URL（请求的特定页面）、查询参数、标头和 cookie（通常包含有关用户的识别信息）。

窃听者可以看到的一件事是网站地址和端口号，它们是 TCP/IP 协议的一部分，不受 HTTPS 保护。这意味着窃听者可以推断出您正在通信的 Web 服务器的 IP 地址和端口号（域名而不是特定页面），以及传输的数据量和会话时间。

现代 Web 浏览器根据预安装的证书颁发机构知道要信任哪些 HTTPS 网站。像 Let's Encrypt 这样的证书颁发机构  值得信赖，可以提供有效的证书。这意味着仅当满足以下所有条件时 HTTPS 连接才可信：

• 您相信您的 Web 浏览器能够通过有效的证书颁发机构正确实施 HTTPS。
• 您相信证书颁发机构只会为合法网站提供担保。
• 您访问的网站提供由受信任的证书颁发机构签署的有效证书。 
• SSL 证书正确识别该网站而不是其他实体。
• 您相信 SSL/TLS 足以防止窃听。

了解 HTTP 和 HTTPS 之间的区别。

为什么 SSL 证书很重要？

客户信任是任何企业的基础，基于互联网的企业也不例外。如果您的企业因不可靠、不安全或不诚实而闻名，您可能会很难销售您的商品或服务。相反，被称为可靠、安全和诚实的品牌将有助于吸引客户。SSL 证书是向当前和潜在客户表明您关心他们的安全的一种方式。 

消费者正在接受培训，寻找屏幕上是否存在以 https:// 开头的挂锁或绿色条，以表明他们可以信任所连接的网站。 

虽然他们可能不了解 SSL/TLS 的底层机制，但他们确实了解它可以保护他们的敏感信息。信用卡号、密码、电话号码以及最终用户不希望泄露的任何其他个人信息等信息。 

仅保护您存储的敏感信息免遭 数据泄露 和 泄露是不够的。您还需要保护传输中的信息。您需要担心的不仅仅是您的组织，确保您的第三方供应商拥有有效的 SSL 证书可以降低您的 第三方风险 和 第四方风险 ，并且应该成为 供应商风险管理、 第三方风险管理、 信息的一部分风险管理 和 网络安全风险评估 计划。 

SSL 证书如何工作？

SSL 在访问者的浏览器和您的网站或应用程序之间运行。它是一种行业标准，可确保数据安全地传入和传出服务器，从而防止 中间人攻击 和窃听。 

它还可以防止 攻击者使用自己的加密 将流量转移到自己的网站（通过 误植 或其他方式）并以此方式窃取客户数据。

SSL 直接在传输控制协议 (TCP) 之上运行，允许更高协议层保持不变，同时提供安全连接。

如果 SSL 证书配置正确，攻击者只能看到您连接的域和端口以及正在传输的数据量。他们也许能够终止连接，但服务器和用户将能够看到连接被第三方断开。

要在您的域上启用 SSL，您需要在服务器上安装 SSL 证书。当客户访问您的网站时，他们的浏览器将连接到您的服务器，检查有效的 SSL 证书并启动 SSL 连接。所有数据在浏览器和您的服务器之间传递之前都将被加密。 

SSL 过程可以分为四个步骤：

1. SSL 握手：  Web 浏览器验证服务器上是否存在 SSL 证书。
2. 服务器发送证书： 将 SSL 证书类型、加密级别等必要信息发送到浏览器。
3. 用户确认证书有效性：  Web 浏览器检查证书是否来自受信任的证书颁发机构，并使用双方支持的最高级别的加密。
4. 保证完整性和真实性：  SSL 和 TLS 协议使用消息身份验证代码 (Mac) 来确保数据完整性和真实性。

SSL 证书有什么作用？

SSL 证书通过在您和访问者之间创建加密链接，在您的网站和访问者之间增加了额外的安全级别。

这提供了两层保护：

1. 加密： 在线共享信息可能存在风险，许多人更愿意只与他们了解和信任的企业进行交易。有了 SSL 证书，客户就知道他们的 敏感数据 已加密且安全。SSL 证书可以具有不同级别的加密，但标准 SSL 证书足以开始使用。
2. 验证身份：  SSL 证书可识别网站所有者并为在线企业创建额外的信任级别。 

SSL 证书的类型

共有三种不同类型的 SSL 证书，为 SSL/TLS 协商提供三个安全级别：

1. 域验证证书 (DV)： 证明对域名的所有权。不检查组织的身份，仅检查拥有 SSL 证书的人也控制域名。这是最基本级别的 SSL 证书，通常随托管免费提供。通常需要几分钟到几天才能收到。也称为域验证证书。
2. 组织验证证书 (OV)： 证明域名所有权并提供注册公司名称。运营网站的个人不会获得此级别的证书。通常需要几个小时到几天才能收到。也称为组织验证证书。
3. 扩展验证证书 (EV)： 最高级别的 SSL 证书。要获得 EV，您需要能够验证您的业务、域名并完成其他验证步骤。通常需要几天到几周的时间才能收到，但这对于向访问者表明您重视他们的隐私和保护大有帮助。

此外，SSL 证书根据需要保护的域或子域的数量而有所不同：

• 单域 SSL 证书： 保护一个域名或子域。
• 通配符 SSL 证书： 涵盖一个域名和无限数量的子域名。
• 多域 SSL 证书： 保护多个域名。

是否需要 SSL 证书？

是的。消费者被训练离开没有 SSL 证书的网站，而 Google 使用 HTTPS 作为排名因素，没有理由不拥有 SSL 证书。拥有有效 SSL 证书的其他重要原因包括：

• 提高转化率： 消费者在网上购物时已经开始期待挂锁，如果没有它，您就会损失收入。
• 提高消费者信任： 如果您收集任何 个人身份信息 (PII)，则需要 SSL 证书。网络攻击对财务、声誉和监管的影响  从未如此之大。这包括收集电子邮件的网站。 

SSL 证书会影响搜索排名吗？

是的，您可以通过在站点范围内安装 SSL 来提高搜索引擎排名并增加用户信任。Google 在 2014 年确认 HTTPS 现在是一个排名因素。安全是 Google 的首要任务，他们投入了大量资金来确保服务的安全。通过鼓励其他网站管理员使用 TLS，他们使互联网更加安全。

SSL 证书将小幅提升排名，并向当前和未来的客户表明您的组织关心 信息安全。