HTTPS网站安全证书的概念、作用、类型
HTTPS网站安全证书的概念、作用、类型
一、概念
HTTPS证书,正式名字叫SSL/TLS证书。你可以把它理解成网站的一张“数字身份证”加“加密钥匙”。以前网站用的是HTTP协议,数据在网络上传输时是明文的,就像寄明信片,路过的人都能看一眼。HTTPS就是给这个明信片套了个信封,这个信封就是证书干的事。
具体点说,证书是一个由权威机构(CA,证书颁发机构)签发的小文件,安装在网站服务器上。它里面有网站的真实域名、所属组织名称(如果有)、证书有效期,还有一个公钥。浏览器访问网站时,会先跟服务器“握个手”,拿这个证书检查一下,确认网站身份没问题,然后双方用公钥和私钥商量出一套临时密码,后续传输的数据就全部加密了。
二、作用
第一,数据加密。这是最核心的。你输入密码、信用卡号、聊天记录,从你的电脑发到网站的服务器,中间要经过无数路由器、交换机。如果网站没有证书,这些信息可以被中间人轻易偷看。有了证书,偷看也没用,全是乱码。
第二,身份验证。证书能告诉你这个网站是不是真的。比如你想去银行官网,结果点进了钓鱼网站,看着一模一样。正规银行有付费的OV或EV证书,里面有真实的企业信息,浏览器会认。骗子搞不到这种证书,或者只能搞到最基本的DV证书(只验证域名),细心的用户看一眼地址栏就能发现不对劲。
第三,建立信任。对普通用户来说,地址栏里那个小锁或者“https”就是定心丸。没有它,很多浏览器会直接打个红叉或者写“不安全”,用户一看就不敢填信息、不敢下单。对于电商、在线支付、会员登录这类网站,没证书基本等于把用户往外赶。
另外,搜索引擎也喜欢有证书的网站。Google明确说过,HTTPS是搜索排名的一个因素。两个内容差不多的网站,有证书的那个更容易排前面。
三、类型
按照验证级别,证书分三种:
域名型证书(DV,Domain Validation)。只验证你有没有域名的管理权限。验证最快,几分钟就能发下来,很多免费的证书就是这一类。优点是便宜甚至不要钱,缺点是只证明域名归你管,不证明你是谁。适合个人博客、小测试站。
企业型证书(OV,Organization Validation)。CA机构会验证你的企业真实存在,包括营业执照、法人信息等。证书里会显示公司名称。需要几天时间审核。适合公司官网、电商网站、需要用户登录的网站。
增强型证书(EV,Extended Validation)。验证最严格,除了企业信息,还要核实经营地址、电话、律师意见等。以前装了EV证书的网站,浏览器地址栏会直接显示公司名称,甚至变成绿色。现在很多浏览器不再突出显示,但EV证书仍然是最高等级的信任标识。适合银行、大型支付平台、政府网站。
除了按验证级别分,还有按域名数量分的单域名证书、多域名证书、通配符证书(可以保护一个域名下的所有子域名)。不过最常用的分类还是DV、OV、EV这三类。
总结一下:HTTPS证书不再是锦上添花,而是每个网站都应该有的基础配置。用户的安全感、数据的保密性、网站的可靠性,都离不开它。