近刷到一些关于SSL免费证书的相关文章,记起了以前待过的一个公司,部分域名证书也是使用开源的,记得当时还稍微研究了一下,今天把以前的文章拿出来分享一下,希望对有些朋友能够提供一些参考。  

一、域名的概念相关

注意:关于域名,应该先搞清楚下面的概念

1.1、域名和域名系统两码事
### 关于概念

域名(Domain Name):是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。
域名的主要目的是方便人们记忆和输入,通过域名系统将域名翻译成可由计算机是被的IP地址,从而实现网络的互联。

域名系统:通常称作DNS,是Domain Name System的缩写,翻译成中文就是“域名系统”,DNS使用UDP端口53。
DNS是互联网中的一项核心服务,是用于实现域名和IP地址相互映射的一个分布式数据库,它将域名翻译成可由计算机识别的IP地址,使用户可以更快速便捷地访问互联。


### 关于范围

域名:简单的说域名是通往网站的路,它由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称

域名系统:将域名和IP地址相互映射的一个分布式数据库,是进行域名和与之相对应的IP地址 转换的系统。
1.2、域名系统(DNS)相关
#1、域名系统的名字空间

域名系统的名字空间是层次结构的,可看作是一个树状结构,域名系统不区分树内节点和叶子节点,而统称为节点,不同节点可以使用相同的标记。
域名按照从右到左的顺序来划分优先等级,最右边的是最高级的根域,根域就是所谓的”.”,接下来就是顶级域又称一级域,一级域之后还有二级三级域,依此类推。


#2、域名的分配与管理
因特网域名与地址管理机构(ICANN,Internet Corporation for Assigned Names and Numbers),承担域名系统管理、IP地址分配、协议参数配置工作。
ICANN为不同的国家或地区设置了相应的顶级域名,这些域名通常都由两个英文字母组成。例如:.uk代表英国、.fr代表法国、.jp代表日本。中国的顶级域名是.cn,.cn下的域名由CNNIC进行管理。

除了代表各个国家顶级域名之外,ICANN最初还定义了7个顶级类别域名,它们是.com、.top、.edu、.gov、.mil、.net、.org;.com、.top用于企业,.edu用于教育机构,.gov用于政府机构,.mil用于军事部门,.net用于互联网络及信息中心等,.org用于非盈利性组织
随着因特网的发展,ICANN又增加了两大类共7个顶级类别域名,分别是.aero、.biz、coop、.info、.museum、.name、.pro 


#3、域名系统服务器
DNS服务器是能提供域名解析的服务器。每一层域都会有一堆域名(DNS)服务器,记录类型可以是A(address)记录,NS(name server)记录,MX(mail),CNAME等
 
全世界只有13台根DNS服务器,但其实这是错误的观点,根DNS服务器只有具体的13个IP地址,但机器的数量不止13台。
DNS服务器一般分三种,根DNS服务器,顶级DNS服务器,权威DNS服务器


#4、DNS 查询方式

本地查询: 保存近期的DNS查询记录,主要包含两块:一是hosts文件,另外一个是客户机的高速缓存,可以用ipconfig/displaydns查看。
直接查询: 本地DNS服务器(家庭路由器),主要是将查询请求转发至转发器。转发器即家庭路由器WAN口设置的由ISP提供的外网DNS地址
迭代查询: 转发器按照域名级别高低,先后需要经过根域名服务器、二级域名服务器、三级域名服务器等多次挨个查询,才能得到相应的结果。
递归查询: 转发器将查询结果返回至本地DNS服务器,本地DNS服务器将其返回至主机得到查询结果,只需发出一次请求,就能得到相应的结果。

二、域名与SSL证书相关

2.1、什么是域名SSL证书

SSL证书是一种遵循SSL协议的数字证书,用于在网络上提供身份验证和加密功能。以下是关于SSL证书的详细说明

  • 定义相关‌:SSL证书包含拥有者的公钥及相关身份信息,由受信任的数字证书颁发机构 (CA) 颁发。
  • 功能相关: 它用于在SSL协议通信过程中对通信双方的身份进行认证,并协商加密的通信信道,以确保安全性。
  • 身份验证‌:SSL证书建立HTTPS并信任传输,可以验证服务器的身份,防止恶意攻击者冒充合法服务器。
  • 数据传输加密‌:通过使用SSL证书,可以加密通信数据,防止数据在传输过程中被篡改或窃取。
  • 安全风险防范‌:SSL证书有助于提升系统的安全性,确保设备内的各服务间以及设备与外部通信的安全性。
2.2、域名与SSL证书的关系
  • SSL证书是第三方机构认证的数字凭证,用于保护浏览器与网站之间的数据传输安全。但是SSL证书不是必须使用的。
  • SSL证书并非只与域名有关系。一个网站可能会有多个子域名。这些子域名代表的不同区域都需要使用相应的SSL证书。
  • SSL证书是一次性的,当目前的证书不能满足您的要求或者即将过期,需再购买新的证书并将新证书配置到目标域名再使用。
2.3、SSL证书类型相关
对 比 域名验证型(DV) 组织验证型(OV) 扩展验证型(EV)
验证内容 域名的所有权 全面企业身份验证,域名的所有权 最高等级企业身份验证,域名的所有权
签发速度 几分钟到一小时 一到三个工作日 三到七个工作日
申请年限 一年 一年到两年 一年到两年
适用场景 个人站点、博客等 中小型企业官网、政府机构和非敏感平台 大型电商网站、金融机构和政府部门
优缺点相关 价格便宜签发快,安全性较低 提供一定程度的信任, 验证过程复杂 提供最高信任度, 验证过程最复杂周期长,价格最贵
绑定域名数 通配符1个、通配符多域名100个 单域名、通配符域名1个,通配符多域名100个 支持单域名1个

三、收费与免费证书的区别

3.1、收费的SSL证书特点
  • 专业认证: 收费SSL证书提供更加严格的企业身份认证,可以为企业网站增加更高的信任度。
  • 完善保障: 收费SSL证书相比免费证书具备更全面的责任保障,提供更高的赔付金额和风险承担。
  • 定制化选项: 收费SSL证书提供更多的定制化选项,以满足用户对于功能和安全性方面的需求。
  • 更长有效期: 某些收费SSL证书提供更长的有效期,减少证书需要频繁进行更新的麻烦和操作。
3.2、免费SSL证书的特点

  • 免费获取: 获取很容易。不论个人网站还是小型企业网站,都可通过一些权威机构或开放项目获得免费的SSL证书。

  • 基本加密: 免费SSL证书提供了数据在传输过程中的基本加密功能,也能够避免数据在传输过程中有被窃取的风险。

  • 网站认证: 虽然免费SSL证书通常只提供域名验证,但对于绝大部分个人网站和小型企业来说已经足够满足需求。

  • SEO优化: 使用SSL证书有助于提升网站在搜索引擎结果中的排名,因为所有的搜索引擎更倾向于推荐安全加密的网站。

3.3、收费与免费证书比较

  • 安全性: 免费SSL证书只提供基本的加密功能,收费SSL证书在认证和安全性方面能够提供更高级别的保护。

  • 信任度: 与免费的SSL证书相比,收费的SSL证书在企业身份验证和品牌认可度方面更能够让用户更加信任。

  • 责任保障: 收费SSL证书通常提供更完善的责任保障和赔偿机制,也更能够为网站运营者提供更全面的保护。

  • 价格区别: 免费SSL证书无需支付费用;收费SSL证书则费用根据品牌、保障等级以及有效期等因素而价格上都有所不同。

3.4、免费与收费相关总结
  • 免费SSL证书适用于个人网站和小型企业,提供了基本的加密和信任功能,对于预算有限的用户来说是一种良好的选择。
  • 收费SSL证书则适用于中大型企业和电子商务平台,具备更严格的认证和安全性保障,建立更高度的信任并为提供更全面的保护。
  • 选择何种类型的SSL证书,需根据实际的需求和预算进行综合考量,任何选择的前提,都是要确保网站的数据安全和用户信任。

四、免费的证书工具相关

4.1、免费证书使用配置流程

宗旨: 开源免费的软件工具,旨在帮助用户自动获取、安装和续订颁发的免费SSL/TLS证书

具体的配置和使用流程:(此处不涉及续期操作)

  • 根据主域名确定好泛域名,在DNS域名解析处,先添加二级泛域名的A记录解析
  • 安装好开源的证书工具或者提供相关的执行命令
  • 使用工具或者命令,生成域名对应的免费证书
  • 在DNS域名解析栏 (公网云平台) 添加域名的TXT记录解析
  • 上传证书文件到代理服务器对应的位置并配置好配置文件重启服务
4.2、部分开源的证书工具
  • Acme.sh 工具 : 较早出现的一款、基于ACME 开放协议标准的工具,支持 ACME