HTTPs 的基本原理 - 扩展知识：SSL 和 CA

这篇笔记记录了 HTTPs 涉及的一些关键概念，比如 SSL。现在有很多 SSL 证书代理机构，他们的官网也是学习这些知识不错的地方，比如 数安时代 的新手指南。

1. SSL 证书

在《HTTPs基本原理》中提到的 CA 证书，指的就是 SSL 证书。SSL简称安全套接层（Security Socket Layer），最初由 Netscape 开发，用来保护 Web 服务器和浏览器之间的网上交易的安全性，如用户的银行信息，登录账号密码，电子邮件，以及相关重要的机密信息。在信息传输过程中对其进行高强度加密，防止黑客篡改以及截取信息。

SSL 证书由受信任的数字证书颁发机构（CA），在验证服务器身份后进行颁发。CA 机构根据所选择的SSL证书类型，对申请者经过不同级别的验证。世界上较大的认证机构就那么几家，比如 Symantec（收购了VeriSign）、Comodo、GoDaddy、GlobalSign、Digicert、StartCom、Unizeto 等。

成功安装SSL证书后，网站就可以通过 “https://xxxxxx” 进行访问，这也意味着服务器与浏览器之间建立安全连接。而此时浏览器也通过改变地址栏的呈现方式告知访问者，该网站已采用SSL加密。

SSL 证书分成不同的级别，级别越高，身份验证越严格，当然认证费用也更高。

1. EV 级：顶级 SSL 证书，又称扩展验证型 SSL 证书。安全级别最高，验证审核最严格，网站部署 EV SSL 证书后，浏览器地址栏将变成绿色并显示企业名称。EV SSL 证书一般应用于金融、银行、电商等安全需求较高的网站。如下图所示，配置顶级 SSL 证书后，会显示“安全锁”、“网站名称”、“绿色地址栏”、“https:// 标记”等信息。

HTTPs基本原理-扩展知识：EV级证书

2. OV 级：专业级 SSL 证书，又称机构验证型 SSL 证书。当前广泛应用的 SSL 证书，需要验证企业身份信息后颁发。OV SSL 证书是当前最常见的证书类型，适用于行政、企业、科研、邮箱、论坛等各类大中型网站。

3. DV 级：基础级 SSL 证书，又称域名验证型 SSL 证书。DV SSL 证书是签发只验证域名所有权，快速颁发的 SSL 证书，安全级别较低。

网站配置 SSL 证书有一些好处，摘录一下(摘自 数安时代 官网)：

• 对网站信息惊醒加密，确保浏览器和服务器之间的通信安全
• 保护用户的隐私信息
• 让用户能够成功完成交易，不会有丢失数据的风险
• 提高了用户的信任和信心
• 消除了浏览器的警告和警报
• 提高了企业的信誉，有助于产生最大的收益
• 提高组织在互联网上的口碑
• 谷歌优先收录部署SSL证书的网站
• 消除了网络钓鱼的风险和其他网络攻击

2. CA（Certificate Authority）

为什么我们的生活中能看到各种各样的“盖章”？就是因为印章是一种认证和共识。但印章可不是随随便便拥有的，私自刻章是一种违法行为。

同样，在网络上，虽然我们拥有了 HTTPs 这样的基于 TLS/SSL 技术的非对称等加密方式，但你怎么知道向你提供的公钥就是安全的呢？谁来证明公钥的身份？

CA 机构，正是这样一种存在。

CA 机构作为公共密钥基础设施，通过与金融机构，如信用报告机构进行合作，对申请人提供的业务和身份信息进行核实，核实通过后颁发相应的证书，和公证机构的作用是类似的。

CA 颁发的 SSL 证书可以有多种级别和形式，比如提供域名验证 SSL（DV SSL证书），组织验证 SSL（OV SSL证书），扩展验证 SSL（EV SSL证书），SSL 通配符，多域 SSL，代码签名，电子邮件签名，文档签名等。申请人可以直接联系到权威 SSL 证书的颁发机构，或者找到 CA 机构的权威经销商进行申请。

HTTPs基本原理-扩展知识：CA机构