聊聊HTTPS和SSL证书

一、HTTPS产生的背景

在说HTTPS之前先说说什么是HTTP,HTTP就是我们平时浏览网页时候使用的一种协议,全称是HyperText Transfer Protocol,中文名是超文本传输协议。HTTP协议传输的数据都是未加密的,也就是明文传输,这就造成了很大的安全隐患。在网络传输过程中,只要数据包被人劫持,那你就相当于赤身全裸的暴露在他人面前,毫无半点隐私可言。想象一下,如果连接了一个不可信的 WIFI,正好使用了某个支付软件进行支付操作,那么你输入的密码很可能就被别人窃取了,从而造成严重后果,因此使用HTTP协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输,于是上世纪90年代中期,Netscape公司设计了SSL(Secure Sockets Layer)协议用于对通过HTTP协议传输的数据进行加密,从而就诞生了HTTPS。

二、数字证书类型

部署https网站,就离不开SSL数字证书。SSL证书按照验证类型可以分为域名型证书、企业型证书(或称组织型证书)和增强型证书。即:

DV SSL:Domain Validation SSL:域名型SSL,审核域名管理权限,比较简单,适用于个人网站、中小型企业网站。

OV SSL:Organization Validation SSL:企业型SSL,审核域名管理权限;企业名称、地址、电话等信息的真实性,使用最广泛。适用于大型企业网站、电子商务网站、游戏类网站等。

EV SSL:Extended Validation SSL:增强型SSL,除了审核OV的内容,还包括第三方数据审查(使用者身份除了显示小锁,还显示公司名称),适用于银行、保险、金融机构等安全要求更高的网站。

而按照认证的域名数量分类,SSL证书又可以分为:

单域名版:一张证书只保护一个域名,如http://www.xxx.comhttp://oa.xxx.cn

多域名版:一张证书可以保护多个域名(最多可支持250个域名),如http://www.xxx.comhttp://oa.xxx.com

说明:通配符版只有DV SSL和OV SSL有,EV SSL不具备。

一般来说,证书的服务期限,主要有1年期和2年期两种。

三、有哪些SSL证书品牌

目前,SSL证书主要有国外的Symantec、DigiCert、GlobalSign、Entrust、Geotrust、Comodo、Thawte、Certum、WoSign、RapidSSL等,以及国内的CFCA等,国外品牌占据主流。其中,2017年8月2日,DigiCert收购了Symantec;2000年初,Thawte被VeriSign收购。在浏览器中,通过点击域名地址头部https前面的锁型小图标,就可以查看证书类型。通过查询多个银行门户网站可以发现,DigiCert证书在银行业被广泛使用。

可能大家会很奇怪,为什么主流的SSL证书都是国外品牌而国内的证书很少呢?这主要是因为目前我们上网使用的浏览器内核都是国外的,包括Triend(IE及国内浏览器使用,使用范围最广)、Gecko(Firefox等浏览器使用)、Webkit(Chrome等浏览器使用)等,国内很多公司号称有自己的浏览器,但其实内核都是国外的,所以并不能说是真正的纯国产浏览器。目前,已经有国内厂商在研发国产加密算法+国产浏览器,希望在不久的将来,能使用安全的国产浏览器遨游互联网世界。

四、如何将网站从http改成https

将网站从http改成https,比较简单,涉及到的修改程序代码等工作量也很小,主要包含以下内容:

1、找国家授牌的CA认证机构,申请购买SSL证书,把认证好的证书安装到独立服务器,并在Apache等应用中间件上进行设置;

2、将https的默认访问端口设置为443,而http的默认访问端口为80;

3、如果有程序代码不支持https,需要进行修改,不过通常主流证书都支持https;

4、设置http域名到https域名的跳转。因为大多数人在访问网站时,还是习惯于输入以http开头的域名,所以这时需要设置跳转,即当访问者访问http域名时,自动跳转到https开头的域名。

原文链接:https://zhuanlan.zhihu.com/p/540640537

© 版权声明
THE END
喜欢就支持一下吧
点赞12 分享