为不同类型的网站选择最佳的SSL证书（上）

“根据CBS数据分析，2014年，47％美国成年人的个人信息被黑客窃取，大部分主要是通过大公司的数据泄露。如Home Depot，Yahoo和Chase。事件爆发之后，占据57.94％浏览器市场的谷歌迅速启动HTTPS相关的协议，对与不安全的HTTP网站发出新的警告消息。

有相关专家预测，到2019年，全球的网络犯罪成本可能达到2万亿美元，这个数字与过去两年相比，升幅可达3倍。去年，美国政府为了敦促公民使用保护措施，以及Google强烈的硬性体制，要求相对大型的网站必须添加HTTPS协议（又称SSL证书）。此前，Chrome对于用法访问不安全的网站发出警告消息，其中众多的邮箱登录页面因为没有合适的SSL证书而被标为不安全网站，导致70%的用户选择忽略。而随着证书普及，多种不同类型的SSL证书为不同类别的网站部署HTTPS安全协议。SSL证书有哪些类型？网站管理员应该如何为自己的网站选择正确的SSL证书呢？下面将为大家一一分享。

SSL证书是确保数据安全的最佳方法之一

在咖啡店、机场或酒店，像这些公共WiFi网络使用一般规则，都是很不安全，极度容易遭受中间人攻击。当用户通过在这些公共WiFi与服务端进行通信，黑客就可以在通信过程中，窃取并篡改其中的信息。

用户访问一个没有部署SSL证书的网站，当他需要需要填写个人相关信息时，如电子邮件、手机号码、银行账户信息时。Google等众多的浏览器马上就会马上向用户发出警告，提醒用户该网站不安全。

而如果已部署EV SSL证书的网站，当用户在Google等众多的浏览器输入地址时，地址栏就会变成醒目的绿色地址栏，用户还可以通过点击安全挂锁，深入了解网站的详细信息。这不仅是获取访问者信任的技巧和策略，也是保护服务端与客户端之间传输安全的重要保障。

SSL证书如何工作？

在客户端与服务器间传输的数据是通过使用对称算法（如 DES 或 RC5）进行加密的。公用密钥算法（通常为 RSA或DH）是用来获得加密密钥交换和数字签名的，此算法使用服务器的SSL数字证书中的公用密钥。有了服务器的SSL数字证书，客户端也可以验证服务器的身份。

 

SSL证书中有一对“密钥”，一个是公钥，另一个是私钥。其中公钥用于加密（或锁定）链接，而私钥则用于解密（或解锁）。而用户的信息就是通过公钥的加密形成隐私层，安全送到终点后，需要服务器对应的密钥解锁才能换取信息。由于密钥对是随机产生并且是唯一配对的，而黑客需要获取信息，必须拥有随机产生的密钥对。

用个形象的比喻，假设A与B通信，A是SSL客户端，B是SSL服务器端，加密后的消息放在方括号[]里，以突出明文消息的区别。双方的处理动作的说明用圆括号（）括起。

A：我想和你安全的通话，我这里的对称加密算法有DES,RC5,密钥交换算法有RSA和DH，摘要算法有MD5和SHA。

B：我们用DES－RSA－SHA这对组合好了。

这是我的证书，里面有我的名字和公钥，你拿去验证一下我的身份（把证书发给A）。

目前没有别的可说的了。

A：（查看证书上B的名字是否无误，并通过手头早已有的CA(数字证书颁发机构）的证书验证了B的证书的真实性，如果其中一项有误，发出警告并断开连接，这一步保证了B的公钥的真实性）

（产生一份秘密消息，这份秘密消息处理后将用作加密密钥，加密初始化向量（IV）和hmac的密钥。将这份秘密消息-协议中称为per_master_secret-用B的公钥加密，封装成称作ClientKeyExchange的消息。由于用了B的公钥，保证了第三方无法窃听）

我生成了一份秘密消息，并用你的公钥加密了，给你（把ClientKeyExchange发给B）

注意，下面我就要用加密的办法给你发消息了！

（将秘密消息进行处理，生成加密密钥，加密初始化向量和hmac的密钥）

[我说完了]

B：（用自己的私钥将ClientKeyExchange中的秘密消息解密出来，然后将秘密消息进行处理，生成加密密钥，加密初始化向量和hmac的密钥，这时双方已经安全的协商出一套加密办法了）

注意，我也要开始用加密的办法给你发消息了！

[我说完了]

A: [我的秘密是…]

B: [其它人不会听到的…]

---

SSL证书是HTTP明文协议升级HTTPS加密协议的重要渠道，是网络安全传输的加密到通道。关于更多SSL证书的资讯，请关注GDCA（数安时代）。GDCA致力于网络信息安全，已通过WebTrust 的国际认证，是全球可信任的证书签发机构。GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议，并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。