今年 8 月,Google 正式公佈了 Android 9.0 ,新的甜點名稱也正式揭曉——Pie。這次的大版本升級中,藏著一個不起眼的特性:預設使用 HTTPS
為了將所有網路流量從明文(未加密的 HTTP)逐步遷移到 TLS,我們更改了網路安全配置的預設設定,以組織所有明文流量,強制應用通過 TLS 建立網路連線,除非開發者明確允許特定域名使用明文傳輸。
這是 Google 在 Chrome 上將 HTTP 網站標記為不安全、搜尋引擎優先收錄 HTTPS網站之後的又一大招,一切只為普及 HTTPS。
其實除了 Google,國外的蘋果、火狐也在大力推廣 HTTPS 加密,國內主流的電商網站如淘寶、天貓、百度、京東等也完成了全站 SSL 證書部署。如火如荼的微信小程式也必須使用 HTTPS 加密。百度、Google 等公開宣告,搜尋引擎會優先收錄 HTTPS 網站。HTTPS 加密已經成為一種趨勢,而 SSL 證書正是實現 HTTPS 的必備條件。
多了 SSL 層的 HTTP 協議
HTTPS 就是在 HTTP 下加入了 SSL 層,從而保護了交換資料隱私和完整性,提供對網站伺服器身份認證的功能,簡單來說它就是安全版的 HTTP。
一般來說,HTTPS 主要用途有三個:一是通過證書等資訊確認網站的真實性;二是建立加密的資訊通道;三是資料內容的完整性。
△ SSL 連線過程
想知道 HTTPS 為什麼安全,來簡單瞭解下 SSL 連線過程。如上圖所示,SSL 連線過程主要有以下幾個步驟:
1、客戶端發起 HTTPS 請求,伺服器會傳送了一個 SSL 證書給客戶端,SSL 證書中包含證書的釋出機構 CA、證書的有效期、公鑰、證書所有者、簽名等資訊
2、客戶端可以根據公鑰驗證伺服器的身份,並隨機生成對稱金鑰,並對金鑰使用公鑰加密。
3、使用公鑰對隨機的金鑰進行加密。
4、將加密後的隨機金鑰傳送給伺服器,伺服器用私鑰解析獲取客戶端的隨機金鑰。
5、用生成的對稱金鑰加密的密文通訊。
連線過程中,瀏覽器會讀取證書中的證書所有者、有效期等資訊進行一一校驗,並查詢作業系統中已內建的受信任證書釋出機構CA,與伺服器發來的證書中的頒發者CA比對,看證書是否為合法機構頒發。只有通過校驗,才能進行接下來的加密步驟。
由此可見:SSL 證書是部署 HTTPS 中必不可少的,它相當於伺服器的“身份證”。
選一張適合你的SSL 證書
DV、OV、EV SSL 證書
安全、可靠顯然成了 HTTPS 的代名詞。那麼該如何選擇合適的 SSL 證書呢?
△ SSL 型別
SSL 證書按大類一般可分為 DV SSL 、OV SSL 、EV SSL 證書,相對應的中文表述為域名型、企業型、增強型證書,不同的廠商叫法可能有所不同,但差別不大。這幾類SSL證書在實際部署中還是有所差異的。
域名驗證型 DV SSL 證書
CA(證書頒佈機構)只對域名的所有者進行線上檢查,通常是驗證域名下某個指定檔案的內容,或者驗證與域名相關的某條 TXT 記錄;
比如訪問 [http|https]://http://www.domain.com/…/test.txt,檔案內容: 2016082xxxxx39w7b20nelfa;
或在與域名相關的 DNS 伺服器上新增一條 TXT 記錄:http://www.domain.com –> TXT –> 20170xxxxxqmkiby43hpvy8
組織驗證型 OV SSL 證書
OV SSL 證書需要購買者提交組織機構資料和單位授權信等在官方註冊的憑證,CA 在簽發 SSL 證書前不僅僅要檢驗域名所有權,還必須對這些資料的真實合法性進行多方查驗,只有通過驗證的才能頒發 OV SSL 證書。
擴充套件驗證型 EV SSL 證書
EV SSL 證書是安全係數最高的 SSL 證書,與其他 SSL 證書一樣,也是基於 SSL/TLS 安全協議,但是驗證流程更加具體詳細,驗證步驟更多,EV SSL 證書所繫結的網站也更加可靠、可信。在使用者端,EV SSL 跟其他 SSL 證書的區別非常明顯:瀏覽器訪問應用了 EV SSL 證書的網站時,位址列會變成綠色;如果是不受信的 SSL 證書則拒絕顯示,如果是釣魚網站,位址列則會變成紅色,以警示使用者。
△ SSL 分類詳情
免費 SSL 證書即免費型的 DV SSL 證書,可以保護一個完整的域名,不支援萬用字元。簽發過程只需驗證域名資訊,簽發速度非常快,幾分鐘即可完成。
而付費 SSL 證書分為付費的 DV SSL 證書、企業型 OV SSL 證書和增強型 EV SSL 證書。OV SSL 證書、EV SSL 證書證書對申請者都需要做嚴格的身份稽核驗證,需要提供可信身份證明。其中涉及的資料包括申請人授權書、營業執照、組織機構程式碼證等的重要資訊。身份的認證作用是為了讓使用者對網站的真實進行驗證,幫助他們去辨別網站的真實身份,免受中間的攻擊或者誤入釣魚網站,建立起使用者對網站真實性的信任。簽發時間一般在3至 15 個工作日。
常見 CA 機構
SSL 證書通常是由 CA 機構頒發,並且需要支援所有瀏覽器的 SSL 證書產品。下面介紹下常見的幾個品牌。
△ 常見 CA 機構
不同場景下的證書選擇
由於本身特性上的差異,免費證書和付費證書,可以適用不同的應用場景。我們可以根據自己的需求進行更多的選擇。
- 免費 SSL 證書:
免費 DV 證書對於個人部落格、小微企業、API 服務等服務,可以節省一筆不菲的開支,並且免費 DV 證書足以滿足基本的加密要求,提高使用者對網站的信任,以及搜尋引擎對 SEO 的優化。當然如果在條件允許的情況下,付費 SSL 證書不失為一種更好的選擇;
- 付費 SSL 證書:
對於中大型企業網站、金融平臺和政府機關等付費的 OV、EV 證書則更加適用。付費 SSL 證書對資訊傳輸過程有更高的加密驗證,還可以通過 SSL 證書來彰顯品牌形象,為消費者塑造更加可靠的形象。
又拍雲於 2016 年聯合國際頂級 CA 機構,提供 Symantec、GeoTrust、TrustAsia、Let’s Encrypt 等品牌的免費 DV SSL 證書和付費 DV、OV、EV SSL 證書。證書申購方便快捷,證書頒發只需 3~5 個工作日,一鍵部署,高效開啟全站 HTTPS。