SSL認證,是經WebTrust認證的知名CA(Certificate Authority)機構頒發給網站的可信憑證,具有網站身分識別驗證和加密傳輸雙重功能。SSL認證基於SSL(Secure Sockets Layer)協議實現,指定了在應用程式協議(如HTTP、Telnet、FTP)和TCP/IP之間提供資料安全性分層的機制。它是在傳輸通訊協定(TCP/IP)上實現的一種安全性通訊協定,採用公開密鑰技術為TCP/IP串連提供資料加密、伺服器認證、訊息完整性以及可選的用戶端認證。
實現原理介紹
SSL認證的加密過程
SSL協議通過非對稱式加密認證身份與對稱式加密傳輸資料的混合機制實現安全通訊。其核心流程分為認證產生和驗證與構建加密會話兩個階段:
認證產生和驗證
伺服器向CA申請認證時,首先產生RSA 2048位或ECC 256位的金鑰組,將公開金鑰、網域名稱、公司資訊等打包為CSR請求。
CA通過網域名稱所有權驗證(DNS解析/檔案驗證)後,用自身私密金鑰對伺服器公開金鑰進行數位簽章,產生標準認證。該簽名形成信任鏈結:根憑證→中間認證→伺服器憑證,瀏覽器逐級驗證防止偽造。
構建加密會話
在TLS握手中,用戶端發送ClientHello訊息以啟動握手過程,包含支援的密碼套件列表、隨機數等。
伺服器響應ServerHello,選擇密碼套件,並發送其憑證鏈結。
用戶端驗證認證的有效性,包括網域名稱匹配、有效期間和吊銷狀態檢查(例如OCSP)。
用戶端產生一個預主要金鑰,用伺服器的公開金鑰加密後發送給伺服器。
雙方使用預主要金鑰和各自的隨機數,通過金鑰交換機制(例如ECDHE或DHE)推匯出工作階段金鑰。
後續通訊使用對稱式加密(如AES)進行,以提高效能並降低計算開銷。
SSL認證採用公開金鑰體制,即利用一對相互匹配的金鑰組,使用RSA、ECC、SM2等演算法,對資料加密和解密。更多資訊,請參見SSL認證選型指引和什麼是公開金鑰和私密金鑰?。
情境與用途
未部署SSL認證的網站如同在互連網中“裸奔”:所有資料轉送均為明文,攻擊者可輕易通過公用WiFi、網路嗅探等手段截獲使用者密碼、銀行卡號等敏感資訊,典型案例如電商支付頁面遭中間人攻擊導致資金盜刷。瀏覽器會標記此類網站為不安全,直接造成流量流失。同時,未加密通訊可能違反多項全球法規,企業可能面臨高額罰款,並失去在金融、醫學等行業的合規准入資格。
啟用SSL認證後,通過混合加密機制構建的安全通道,即使資料被截獲,破解也是極其困難且耗時的,需要耗費巨大的計算資源和時間。瀏覽器地址欄顯示鎖型表徵圖或企業名稱(EV認證),使用者信任度提升,顯著提高網站的信任度。法律上,SSL認證滿足等保2.0、PCI DSS等20餘項國際認證,規避法律風險。
認證使用流程說明
SSL認證購買
阿里雲提供三種類型的SSL認證供選擇:DV認證、OV認證和EV認證。在認證品牌方面,阿里雲支援多個可信賴的憑證授權單位(CA),包括DigiCert、GlobalSign等。這些機構提供多種SSL認證類型,如單網域名稱認證、萬用字元認證和多網域名稱認證。您可以依據網站的具體需求和安全要求有關選擇認證的品牌與類型。認證的擷取方式,請參見購買正式認證。
SSL認證建立與申請
認證簽發流程包含申請認證和網域名稱所有權驗證。
SSL認證部署
一旦SSL認證獲得批准並頒發,便可進行部署。認證部署將SSL認證安裝至伺服器上,以確保網站通過HTTPS協議進行安全通訊。部署步驟可能因伺服器類型及託管環境的不同而有所變化,常見的伺服器包括Apache、Nginx和IIS等。請參見部署SSL認證。
認證後續操作
認證續約
SSL認證續約是指在現有的SSL認證即將到期時,通過重新申請和安裝新的SSL認證來繼續保持網站的加密串連和安全性。SSL認證通常有固定的時間長度,最長有效期間為397天,即約13個月,到期後如果不續約,網站將面臨安全風險,可能會出現瀏覽器的安全警告,從而影響使用者信任和訪問。請參見SSL認證續期與到期處理。
SSL憑證撤銷
如果您出於安全或其他方面的考慮,決定不再使用已簽發的SSL認證,您可以選擇將其吊銷。吊銷認證意味著從CA(憑證授權單位)處登出該認證,從而確保其不再被用於安全通訊。請參見吊銷和刪除SSL認證。
認證的品牌與類型
阿里雲SSL認證服務支援購買多種品牌與類型。購買時需要考慮部署情境、認證類型、安全等級、價格等因素,請參見SSL認證選型指引。
認證類型
阿里雲支援購買DV認證、OV認證和EV認證三種類型的SSL認證。不同類型認證的安全性、支援的認證品牌和適用的網站類型不同,具體如下表所示。
認證類型 | 適用網站類型 | 公信等級 | 認證強度 | 安全性 | 審核方式及資料 | 平均簽發時間 | 支援的認證品牌 |
DV(網域名稱型) | 適用於個人網站、App服務、展示型網站、企業測試或個人測試網站。 說明 如果您的網站主體是個人(即沒有企業營業執照),只能申請DV型數位憑證。 | 一般 | CA機構審核個人網站真實性、不驗證企業真實性 | 一般 | 通過DNS驗證。僅需提交網域名稱即可。 | 1~15分鐘 |
|
OV(企業型) | 適用於政府組織、中小型企業或教育機構等。 說明 對於一般企業、移動端網站或介面調用,建議購買OV及以上類型的數位憑證。 | 高 | CA機構審核組織及企業真實性 | 高 | 郵件或電話。需提交驗證網域名稱、公司資訊、營業執照等。 | 5個自然日 |
|
EV(企業增強型) | 適用於大型企業、金融機構、電商等涉及交易支付和隱私資料的高私密網站。 說明 對於金融、支付類企業,建議購買EV型認證。 | 最高 | 嚴格認證 | 最高 | 郵件或電話。需提交驗證網域名稱、公司資訊、營業執照等。 | 5個自然日 |
|
認證品牌
SSL認證支援的多個認證品牌如下表所示。
認證品牌 | 認證認證機構 | 說明 |
DigiCert | DigiCert, Inc. | DigiCert(原Symantec)是知名的數位憑證頒發機構、值得信賴的SSL認證品牌,所有認證都採用業界先進的加密技術,為不同的網站和伺服器提供安全解決方案。 |
GlobalSign、Alibaba Cloud | GMO GlobalSign Pte Ltd. | GlobalSign是較早的數位憑證認證機構之一,一直致力於網路安全認證及數位憑證服務,是一個備受信賴的CA和SSL數位憑證供應商。相較於其他品牌認證,Alibaba Cloud品牌認證價格更為優惠。 |