什么是 SSL/TLS 證書？

SSL/TLS 證書是一個數字對象，它允許系統驗證身份，然后使用安全套接字層/傳輸層安全性（SSL/TLS）協議建立到另一個系統的加密網絡連接。證書在名為公有密鑰基礎設施 (PKI) 的加密系統中使用。通過 PKI，在雙方都信任同一個第三方（稱為證書頒發機構）的情況下，一方可以確認使用證書的另一方的身份。SSL/TLS 證書可用作數字身份證來保護網絡通信的安全，確認網站在互聯網上的身份以及資源在私有網絡上的身份。

為什么 SSL/TLS 證書很重要？

SSL/TLS 證書在網站用戶之間建立信任。企業在 Web 服務器上安裝 SSL/TLS 證書，以創建受 SSL/TLS 保護的網站。受 SSL/TLS 保護的網頁的特征如下：

Web 瀏覽器中的掛鎖圖標和綠色地址欄

瀏覽器網站地址中的 https 前綴

有效的 SSL/TLS 證書。您可以通過單擊并展開 URL 地址欄中的掛鎖圖標來檢查 SSL/TLS 證書是否有效

建立加密連接后，只有客戶端和 Web 服務器才能看到發送的數據。

我們在下面列舉了 SSL/TLS 證書的一些好處。

保護私人數據

瀏覽器會驗證任何網站的 SSL/TLS 證書，以啟動和維護與網站服務器的安全連接。SSL/TLS 技術有助于確保您的瀏覽器和網站之間的所有通信都得到加密。

增強客戶信心

精通互聯網的客戶了解隱私的重要性，并希望信任他們正在訪問的網站。受SSL/TLS保護的網站帶有綠色掛鎖圖標，客戶認為這是安全的。SSL/TLS 保護可幫助客戶在與您的企業共享數據時知道其數據受到保護。

支持合規性

有些企業必須遵守有關數據機密性和保護的行業法規。例如，支付卡行業的企業必須遵守PCI DSS。PCI DSS 是提供安全在線交易的行業要求，包括使用 SSL/TLS 證書保護 Web 服務器。

改進 SEO

主要的搜索引擎已將 SSL/TLS 保護作為搜索引擎優化的排名因素。受SSL/TLS保護的網站在搜索引擎上的排名可能會高于沒有SSL/TLS證書的類似網站。這增加了搜索引擎訪問受 SSL/TLS 保護的網站的訪問者。

SSL/TLS 證書技術的主要原則是什么？

SSL/TLS 代表安全套接字層和傳輸層安全性。它是一種協議或通信規則，允許計算機系統在互聯網上安全地相互通信。SSL/TLS 證書使 Web 瀏覽器能夠標識使用 SSL/TLS 協議的網站并與之建立加密的網絡連接。

加密

加密意味著對原始消息進行加密，使其只能由預期的接收人解密。例如，通過將每個字母按照字母表中的順序向前移動兩位，將單詞cat更改為ecv。接收人知道規則（或密鑰），將每個字母向后移動兩位以閱讀實際的單詞。SSL/TLS 加密以此概念為基礎，使用公有密鑰加密，使用兩個不同的密鑰來加密和解密消息。 通過 PKI，在雙方都信任同一個第三方（稱為證書頒發機構）的情況下，一方可以確認使用證書的另一方的身份。在通信開始之前，證書頒發機構會驗證證書并對雙方進行身份驗證。

兩種類型的密鑰是：

公有密鑰

瀏覽器和 Web 服務器通過使用公有密鑰和私有密鑰對對信息進行編碼和解碼來進行通信。公有密鑰是 Web 服務器在 SSL/TLS 證書中提供給瀏覽器的加密密鑰。在將信息發送到 Web 服務器之前，瀏覽器使用該密鑰對信息進行加密。

私有密鑰

只有 Web 服務器擁有私有密鑰。使用私有密鑰加密的文件只能用公有密鑰解密，反之亦然。如果公有密鑰只能解密已使用私有密鑰加密的文件，那么能夠解密該文件就可以確保預期的接收者和發送者是他們聲稱的真實身份。

身份驗證

服務器將 SSL/TLS 證書中的公有密鑰發送到瀏覽器。瀏覽器會驗證來自受信任第三方的證書。因此，它可以驗證 Web 服務器是否是它聲稱的身份。

數字簽名

數字簽名是每個 SSL/TLS 證書的唯一編號。接收人生成新的數字簽名并將其與原始簽名進行比較，以確保外部各方在證書通過網絡傳輸時不會篡改證書。

誰驗證 SSL/TLS 證書？

證書頒發機構（CA）是向 Web 所有者、Web 托管公司或企業出售 SSL/TLS 證書的組織。在頒發 SSL/TLS 證書之前，CA 會驗證域和所有者的詳細信息。要成為 CA，組織必須滿足操作系統、瀏覽器或移動設備公司設定的特定要求，并申請被列為根證書頒發機構。這對于在互聯網用戶之間建立信任非常重要。例如，Amazon Trust Services 是一個證書頒發機構，可以向網站頒發 SSL/TLS 證書。

SSL/TLS 證書的有效期是多久？

SSL/TLS 證書的最長有效期為 13 個月。隨著時間的推移，SSL/TLS 證書的有效性會逐漸降低。這樣做的目的是減少影響企業和 Web 用戶的安全風險。例如，不受信任的第三方可能會使用來自過期域的有效 SSL/TLS 證書來創建未經授權的網站。

通過縮短有效期，減少了濫用 SSL/TLS 證書的機會。當 SSL/TLS 證書過期時，Web 訪問者會在瀏覽器上收到一條警告，告知網站不安全。組織撤銷舊的 SSL/TLS 證書，并將其替換為續訂的證書。續訂過程需要在以前的證書過期之前進行，以避免發生安全事件。

SSL/TLS 證書中包含哪些內容？

SSL/TLS 證書包含以下信息。

域名

證書頒發機構

證書頒發機構的數字簽名

頒發日期

到期日期

公有密鑰

SSL/TLS 版本

TLS 代表傳輸層安全性。它是 SSL/TLS 協議版本 3.0 的繼承和延續。SSL/TLS 和 TLS 之間僅存在細微的技術差異。與 SSL/TLS 一樣，TLS 在瀏覽器和 Web 服務器之間提供加密的數據傳輸通道。現代 SSL/TLS 證書使用 TLS 協議而不是 SSL/TLS，但是安全專家仍然習慣使用 SSL/TLS 這個縮寫。雖然不完全相同，但術語 SSL 和 TLS 通常用來表示相同的意思。他們也可能將加密協議稱為 SSL/TLS。

SSL/TLS 證書如何工作？

瀏覽器使用 SSL/TLS 證書通過 SSL/TLS 握手啟動與 Web 服務器的安全連接。SSL/TLS 握手是安全超文本傳輸協議（HTTPS）通信技術的一部分。它是 HTTP 和 SSL/TLS 的組合。HTTP 是 Web 瀏覽器用來將純文本信息發送到 Web 服務器的協議。HTTP 傳輸未加密的數據，這意味著從瀏覽器發送的信息可能會被第三方攔截和讀取。瀏覽器使用 HTTP 和 SSL/TLS，或使用 HTTPS 進行完全安全的通信。

SSL/TLS 握手

SSL/TLS 握手包括以下步驟：

瀏覽器會打開一個 SSL/TLS 安全網站并連接到 Web 服務器。

瀏覽器嘗試通過請求可識別信息來驗證 Web 服務器的真實性。

Web 服務器發送包含公鑰的 SSL/TLS 證書作為回復。

瀏覽器會驗證 SSL/TLS 證書，確保其有效且與網站域名匹配。一旦瀏覽器對 SSL/TLS 證書感到滿意，它就會使用公鑰加密并發送包含秘密會話密鑰的消息。

Web 服務器使用其私鑰解密消息并檢索會話密鑰。然后，它使用會話密鑰加密并向瀏覽器發送確認消息。

現在，瀏覽器和 Web 服務器都切換到使用相同的會話密鑰來安全地交換消息。

會話密鑰

會話密鑰在初始 SSL/TLS 身份驗證完成后保持瀏覽器和 Web 服務器之間的加密通信。會話密鑰是用于對稱加密的密碼密鑰。對稱加密使用相同的密鑰進行加密和解密。非對稱密碼學占用了巨大的計算能力。因此，Web 服務器切換到對稱加密，需要較少的計算來維護 SSL/TLS 連接。

什么是 AWS Certificate Manager？

AWS Certificate Manager（ACM）是一項服務，可幫助您輕松地預調配、管理和部署公有和私有 SSL/TLS 證書，以便用于 AWS 產品和您的內部互聯資源。使用該服務，您無需再為購買、上傳和續訂 SSL/TLS 證書而經歷耗時的手動流程。相反，您可以快速請求證書，在與 ACM 集成的 AWS 資源（例如 Elastic Load Balancing、Amazon CloudFront 分配或 Amazon API Gateway 上的 API）上部署該證書，并讓 AWS Certificate Manager 處理證書續訂事宜。它還讓您能夠為內部資源創建私有證書并集中管理證書生命周期。

組織使用 ACM 簡化 SSL/TLS 證書的申請、部署和續訂。只需單擊幾下即可創建 ACM 托管的 SSL/TLS 證書，而不是生成證書簽名請求（CSR）并將其提交給證書頒發機構的傳統流程。

立即注冊 AWS 賬戶，開始使用 AWS Certificate Manager。

SSL/TLS 證書有哪些類型？

SSL/TLS 證書因驗證和域而異。具有不同驗證級別的證書分為：

擴展驗證證書

組織驗證的證書

域驗證的證書

支持不同域類型的 SSL/TLS 證書包括：

單域證書

通配符證書

多域證書

擴展驗證證書

擴展驗證證書（EV SSL/TLS）是一種具有最高級別的加密、驗證和信任的數字證書。申請 EV SSL/TLS 時，組織或 Web 所有者將受到證書頒發機構的嚴格檢查。包括驗證實際營業地址、正確的證書申請以及使用域的專有權利。

企業使用 EV SSL/TLS 來保護用戶免受未經授權第三方的攻擊。當公司處理網站上的敏感數據（例如財務交易和醫療記錄）時，這一點很重要。EV SSL/TLS 證書包含企業組織的詳細信息，可在瀏覽器上查看。

組織驗證證書

在驗證和信任方面，組織驗證證書（OV SSL/TLS）僅次于 EV SSL/TLS。與 EV SSL/TLS 一樣，公司在申請 OV SSL/TLS 時必須經過驗證過程。雖然審查過程不那么嚴格，但申請人必須向認證機構證明域所有權。

OV SSL/TLS 證書包含經過驗證的企業信息，可以在瀏覽器上進行檢查。前沿企業和商業企業使用 OV SSL/TLS 證書在客戶之間建立信任。OV SSL/TLS 提供強大的加密功能，以保護客戶瀏覽 Web 時的隱私。

域驗證證書

域驗證證書（DV SSL/TLS）是驗證級別最低的數字證書。其申請費用也最低。與 EV SLL 和 OV SSL/TLS 不同，DV 證書申請人的審查過程不那么嚴格。申請人通過回復驗證電子郵件或電話來證明域所有權。

DV 證書不包含申請人組織或企業的完整信息。因此，它不能為用戶提供高度的安全保證。DV 證書適用于信息網站，例如博客。對于支付網關、醫療保健企業或其他處理敏感數據的網站，它們并不理想。

單域 SSL/TLS 證書

單域 SSL/TLS 證書是僅保護一個域或子域的 SSL/TLS 證書。域是網站的主 URL 或地址，例如 amazon.com。子域是在主域之前帶有擴展文本的網址，例如 aws.amazon.com。

例如，您可以在 http://example.com 上使用單域 SSL/TLS 證書。但是，您不能同時使用 http://example.com 和 sub.example.com 的證書。

通配符 SSL/TLS 證書

通配符 SSL/TLS 證書是一種保護域及其所有子域的 SSL/TLS 證書。例如，您可以使用通配符 SSL/TLS 證書來保護 http://example.com、blog.example.com 和 shop.example.com。

多域 SSL/TLS 證書

多域證書也稱為統一通信證書。多域 SSL/TLS 證書為托管在具有相同所有權的相同或不同服務器上的多個域名提供 SSL/TLS 保護。例如，您為 http://example1.com、domain2.co.uk、shop.business3.com 和 chat.message.au 購買多域證書。