瀏覽瀏覽器的地址欄，您會看到一個掛鎖圖標。安全專家認為 SSL 證書對于任何在線項目都是必不可少的，事實上，雖然不是每個人都在聽，但這些證書的使用在過去幾年中已經增長了很多。這是告訴您網站的訪問者您關心他們數據的安全性的最簡單方法，并且您必須確保您的網站有一個。但是，有這么多提供商，選擇最適合您需要的證書可能很困難。在我們開始之前，讓我們看看什么是 SSL 證書以及它是如何工作的。

什么是 SSL？

馬上，您可能會遇到一些困惑。SSL 代表安全套接字層——一種促進計算機網絡安全連接的加密協議。盡管它們以它命名，但現代 SSL 證書不使用安全套接字層協議。

相反，它們現在都基于傳輸層安全性 (TLS) – SSL 的繼任者。雖然很難說SSL 名稱為何停滯不前，但很容易看出為什么 SSL 證書的重要性多年來如此增長。

SSL 證書的工作是加密在客戶端和服務器之間流動的數據，以降低中間人攻擊的風險。

顧名思義，在中間人攻擊中，黑客捕獲了在用戶計算機和不受 SSL 證書保護的網站之間傳輸的信息包。這些數據包通常包含敏感信息，如登錄詳細信息、信用卡號等，以及

如果是純文本，很容易被竊取和濫用。在沒有 SSL 證書的情況下，犯罪分子還可以更改返回給用戶的內容，從而將他們重定向到惡意頁面或啟動詐騙操作。

中間人攻擊已經存在了很長時間，但在過去，這并不是什么大問題。連接到網絡的人數要少得多，他們在互聯網上共享的敏感信息量也少得多。SSL 證書相當昂貴且部署和安裝速度很慢，這就是為什么過去只有大型在線商店擁有它們的原因。

然而，隨著時間的推移，越來越多的人可以訪問互聯網，他們執行的任務的性質也發生了變化。保護他們的信息突然成為當務之急，SSL 證書變得至關重要。它們的存在是如此重要，以至于多年來，互聯網瀏覽器已經實施了許多更改，以便清楚哪些網站有 SSL 證書，哪些沒有。

SSL 證書如何工作？

SSL 證書本質上是安裝在托管網站的服務器上的文件。它包含一個公共加密密鑰、有關網站/服務器所有者和頒發證書的證書頒發機構 (CA)的信息。建立安全連接的第一步稱為TLS 握手。

服務器使用 SSL 證書的副本響應初始消息。客戶端的瀏覽器檢查證書以查看它是否信任頒發它的 CA，如果信任，它使用包含的公鑰加密并將所謂的“預主密鑰”發送回服務器。

premaster secret 只能由存儲在服務器上且從不與任何人共享的私鑰解密。客戶端和服務器都使用解密的 premaster secret以及在TLS 握手期間交換的其他數據位來創建會話密鑰——從此時起將用于加密數據的加密密鑰。每次用戶訪問網站時，都會啟動相同的過程，并生成一組新的、唯一的會話密鑰。

為什么我們需要 SSL 證書？

SSL 證書有兩個主要用途。它結合使用非對稱和對稱加密，不僅可以確保數據在傳輸過程中受到保護，還可以確保客戶端與正確的服務器進行通信。

在 TLS 握手期間，用戶的瀏覽器有效地驗證服務器并確保它不是冒??名頂替者。稍后，當連接建立時，它會對數據進行加密，以保證即使有人設法攔截它，他們也無法竊取或以任何方式修改它。

盡管它涉及到一些復雜的密碼學，但在大多數情況下，安裝 SSL 證書遠沒有以前那么困難，而且它被廣泛認為是保護您的網站的第一步，也是最重要的一步。

自簽名證書、DV、OV 和 EV

SSL 證書不需要很昂貴。使用 OpenSSL 等免費工具，您可以創建自己的 SSL 證書并促進客戶端和服務器之間的安全連接，而無需花費一分錢。這些證書稱為自簽名證書，它們確實有許多合法的應用程序。但是，在生產環境中保護網站并不是其中之一。

它們被稱為自簽名，因為它們不是由證書頒發機構頒發的。雖然這可能會為您節省一大筆錢，但它在某種程度上違背了最初擁有 SSL 證書的目的。

SSL 證書的主要目標之一是向用戶保證他們正在與正確的服務器通信。這就是為什么當 CA 頒發證書時，它會執行某些檢查以確保獲得證書的人真正擁有域和基礎在線業務。

瀏覽器僅在信任 CA 已完成這些檢查時才建立安全連接。沒有 CA 意味著訪問者在嘗試連接到您的網站時會看到警告。

如果您想表明您對用戶安全的重視，您需要擁有由受信任的 CA 頒發的 SSL 證書。您有很多供應商可供選擇，但在您到達那里之前，您需要決定您需要哪種類型的 SSL 證書。

不同類型的證書在它們的工作方式上并沒有太大的不同。在保護人們的數據方面，他們都做同樣的工作。不同之處在于證書持有者需要通過的驗證級別，以向訪問者保證他們正在與合法實體開展業務。以下是不同類型的 SSL 證書的工作方式：

• 域驗證或 DV 證書——這是從證書頒發機構獲得 SSL 證書的最簡單、最便宜和最快的方法。DV 證書頒發給被列為網站域名所有者的人。CA 不會進一步驗證其背后的人員或組織的身份，這就是為什么證書的創建幾乎是即時的。DV 證書適用于不處理過多敏感信息的個人和小型企業網站。2014 年，一家名為Let's Encrypt的 CA開始發放免費的 DV 證書，至今已幫助保護世界網站的很大一部分。鑒于此，您真的沒有理由在沒有 SSL 證書的情況下運行網站。
• 組織驗證或 OV 證書——如果您經營一家中小型企業，您希望獲得所有可信度提升，而組織驗證 (OV)證書很可能就是您所需要的。這一次，您沒有獲得證書，而是申請它。有一個審查過程，在此過程中，CA 會對注冊為域所有者的組織進行一些背景調查。檢查聯系信息和注冊的物理地址等信息，只有在 CA 認為沒有問題的情況下才會頒發證書。當用戶單擊地址欄中的掛鎖圖標時，他們可以看到您的組織名稱，他們知道你已經通過了背景調查。因此，他們更有可能與您開展業務。頒發 OV 證書可能需要幾天時間，而且它們比 DV 替代品要貴得多。
• 擴展驗證或 EV 證書——您的組織或電子商務網站越受歡迎，就越有可能有人試圖冒充您。這就是為什么大型企業選擇最昂貴和最難獲得的 SSL 證書類型——擴展驗證 (EV) 證書。在頒發 EV 證書之前，CA 會對申請它的組織和/或個人進行一些相當廣泛的背景調查。遵循相當多的嚴格規則，該過程可能需要長達一周的時間。EV 證書也相當昂貴，但它們向用戶灌輸的額外信任可以使投資變得物有所值。

什么是好的 SSL 購買？

毫無疑問，您的網站需要 SSL 證書。但是，如您所見，有很多選項和許多不同的供應商可供選擇。那么，在你拿到錢包之前，你需要記住哪些事情呢？

首先，您需要了解項目的要求。例如，如果您正在創建一個個人博客，并在其中不時分享您的想法，那么每年花費數百（甚至數千）美元購買 EV 證書是沒有意義的。事實上，對于這類項目，免費的 Let's Encrypt 證書可能就是您所需要的一切。

然而，再往上走，事情變得有點復雜。如果您打算通過您的網站開展任何類型的業務，您可能需要考慮選擇其中一種付費選項。從技術角度來看，證書本身不會增加額外的安全性，但它們可以為您提供額外的可信度，尤其是在您申請OV 證書的情況下。

為新項目選擇擴展驗證 SSL可能不是最好的選擇。證書非常昂貴，并且瀏覽器供應商最近實施的更改意味著最終用戶現在很難區分 EV 和 OV 證書。應該為處理大量敏感數據的流行網站保留 EV 解決方案。

一旦確定了適合您的證書類型，您就需要選擇證書供應商。你可以做得比貨比三家更糟糕。價格差異很大，您需要確保如果您選擇更昂貴的選擇，您會得到一些回報。

結論

有些人繼續堅持認為，如果您的網站沒有登錄表單或結帳頁面，則不需要 SSL 證書。這與事實相去甚遠。SSL 證書不只是加密服務器和客戶端之間的通信。它還可以作為您與合法網站進行通信的保證。安裝和配置 SSL 證書曾經既昂貴又令人厭煩，但幸運的是現在情況發生了變化。如果您的網站不受 SSL 證書保護，您必須盡快修復此錯誤。