SSL证书实用知识

SSL证书（SSL Certificates）是HTTP协议升级为HTTPS加密协议必备的数字证书，它在客户端（浏览器）与服务端（网站服务器）之间搭建一条安全的加密通道，对两者之间交换的信息进行加密，确保传输数据不被泄露或篡改。
　　部署了SSL证书的网站，浏览器将直观展示网站认证信息和安全标识，显示安全锁，点击安全锁，可查看网站认证的详细信息（如图）。
　　

证书价值

商业价值

1.保障用户隐私信息：通过加密技术防止传输过程中用户隐私信息被窃取和篡改。
2.提升公司品牌形象和客户信任度：浏览器向用户显示安全标记，表示其访问的网站是安全、可信的站点。
3.帮助网站提高搜索排名：google和百度宣布，对正确部署ssl证书的安全网站提升搜索排名。

技术价值

1.实现https加密传输，防止传输过程中被盗窃。
2.验证网站及所属者身份
3.防止网页被篡改
4.防止流量被劫持

证书分类

信任等级划分

SSL证书通常按信任等级分三类：域名型（DV）SSL证书、企业型（OV）SSL证书、增强型（EV）SSL证书。各自区别如下：

1、浏览器显示效果：
DV证书显示效果：

OV证书显示效果：

EV证书显示效果：

2、赔付保障金：相当于SSL证书的一份安全保险。如果因为加密协议有漏洞导致数据被窃取的情况下就可以获取赔付保证金。当证书颁发机构（CA）未能正确验证数字证书中包含的信息，并且由于欺诈性在线交易而导致最终用户的资金损失，在这种情况下，最终用户可以要求保修赔偿。赔付保障金仅在最终用户被欺诈收费时支付，证书供应商应根据其条款或服务提供报销。

支持域名数量划分

单域名证书：只支持一个域名。
多域名证书：支持多个域名，包括多个主域名和一个主域名下的多个子域名。
通配符证书：只支持一个主域名下的多个子域名。
通常支持域名越多，价格越贵。

应用场景

企业网站安全加密：启用企业网站全站https安全加密，激活绿色安全标识(DV/OV)或地址栏企业名称标识(EV)，为潜在客户带来更可信、更放心的访问体验，极大增强企业诚信力和用户信赖感，有效提升成单率
政务信息安全加密：公信力是政务平台要打造的最重要特性。而越来越多的钓鱼欺诈网站和信息劫持手段，对政务平台的信息安全带来严重威胁。启用权威认证的SSL证书能最大化保障信息安全和网站公信力
支付体系安全加密：支付环节是用户最敏感也最容易受到安全威胁的部分，极易成为不法用户信息劫持和伪装欺诈的重要目标。因此，实现网站支付环节的https信息传输加密，已经成为各大网站的标配
API接口安全加密：API接口是第三方网站进行信息交互的重要形式，因为大多涉及敏感信息或重要操作指令的传输，因此其安全性至关重要。使用SSL证书进行信息传输的高强度加密，可有效杜绝信息劫持

颁证机构

DigiCert：是一家顶级的数字证书颁发机构，是名副其实的行业领导者，成立于2003年，一直专注于为用户提供高级SSL证书（包括企业级OV SSL证书和EV SSL证书），DigiCert Secure Site SSL证书是93%的全球500强企业、97家的百大银行以及94%全球领先电商平台的安全证书首选。适用对象：银行、保险、金融机构、电子商务网站、大型企业等。
GeoTrust：是全球第二大数字证书颁发机构（CA），也是身份认证和信任认证领域的领导者，是一款优质的、高性价比的SSL证书品牌。GeoTrust从2001年成立到2006年占领全球市场25%的市场份额，在全球150多个国家有超过10万个用户在使用 GeoTrust SSL证书。它能完美支持中文域名和显示中文名称，深受国内用户喜爱，目前GeoTrust SSL证书市场占有率已超过30%，而且每年的增长率高达150% 。适用对象：中小型企业网站、中小型电子商务网站、个人或博客类网站等。
GlobalSign：是一家全球著名CA机构。搭建HTTPS通道，为数十亿的设备、人员和包括万物互联的事物提供数据、身份、安全解决方案； 作为公众信任服务行业的领头羊，GlobalSign 自1996 年起开始颁发可信赖的SSL数字证书，从一些已经广泛普及的公众根中提供公众信任。这些可信任的根能够为所有的操作系统、主要网站浏览器、服务器、e-mail 客户端以及互联网应用程序等识别。适用对象：中小型企业网站、中小型电子商务网站、个人或博客类网站等。
Comodo：成立于1998年，是全球优秀的网络安全服务提供商和SSL证书服务商之一，Comodo证书产品类型丰富，满足各类网站不同的安全需求，极具性价比，深受中小型企业的欢迎。Comodo拥有超过20年的数字证书行业经验，证书发行量全球第一，迄今为止已发出超过1亿份证书，为所有网站和移动应用提供各个类型的数字证书安全解决方案。适用对象：中小型企业网站、中小型电子商务网站、个人或博客类网站等。

中国金融认证（CFCA）：中金金融认证中心有限公司（即中国金融认证中心China Financial Certification Authority，简称CFCA）是由中国人民银行于1998年牵头组建，经国家信息安全管理机构批准成立的权威电子认证机构，是国家重要的金融信息安全基础设施之一。截至2022年，全国已开通网上银行服务并使用数字证书的银行中，有97%的银行使用了CFCA提供的电子认证服务。
亚洲诚信（TrustAsia®）：国内专业的CA机构，是亚数信息科技（上海）有限公司应用于信息安全领域的品牌。公司成立于 2005 年，专注于互联网传输领域的可信和安全，支持国密和国际双算法的浏览器，获得国内与国际双 CA 认证。为近千万家企业、机构与平台提供数字与信息安全服务。

如何选择SSL证书

由于不同SSL证书价格相差巨大，因此需要考虑多种因素，选择最为合适的才能发挥最大的作用：

1. 清楚地了解三类证书（DV/OV/EV）各自优缺点，并按需做出相应的选择。
2. 根据所保护域名数量需求，确定需要购买的证书为单域名证书，多域名证书或通配符证书。
3. 选择正确的CA机构。证书颁发机构的资质、声誉和服务能力等方面都非常重要，优质的CA机构能提供优质的产品和服务。按自己预算选择合适的CA机构。

使用注意问题

1、证书安装部署：按照证书机构提供的安装步骤说明操作即可，即使有问题，可寻求售后支持。
2、证书有效期：一般证书有效期是一年，也有2-3年的。证书到期前1个月就需缴费续期，千万别等到期前1-2天才进行，万一有个啥来不及，可就影响系统正常使用了。
3、证书重新签发：如果证书有效期内，出现问题需要重新签发，一般证书机构都提供免费重新签发服务。
4、TLS协议配置：TLS协议有4个版本：TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3，版本越高代表安全性越高。TLSv1.0是最早版本，存在安全漏洞，因此使用时都不要支持。现在SSL证书通常支持后3个版本，具体参考安装部署说明。
5、部署SSL后，网站不能正常打开，通常有如下原因：
（1）SSL证书本身的问题：如果出现https网站打不开的情况，可能是因为SSL证书出现了问题。解决方法就是重新安装SSL证书。忽略证书警告并继续访问网站，然后点击地址栏后面的“证书错误”按钮，打开弹出窗口，点击“查看证书”，然后单击“安装证书”。如果在此过程中，出现安装证书失败的情况，需要把电脑的日期时间进行重置，清空浏览器中的临时文件。对于大的证书机构，通常浏览器内置支持，证书就不需要安装，通常不存在这个问题。
（2）网站不可信：https打不开第二种解决方法是添加网站为信任网站。具体的操作方法是，点击“工具”菜单上的“Internet选项”，选择“安全”，然后再单击“可信站点”，然后单击“站点”按钮，然后在“将该网站添加到区域”文本框中输入出现“此网站的安全证书有问题”的提示的网站地址，随后进行添加就可以了。
（3）浏览器的问题：https打不开还可能是浏览器设置出现了问题，需要在浏览器中选择“工具”选项，然后选择Internet选项，在高级设置中，选择“使用SSL2.0”和“使用SSL3.0”。