HTTPS 简介

HTTPS(HyperText Transfer Protocol over Secure Socket Layer)并不是一个新鲜协议,Google 很早就开始启用了,初衷是为了保护数据安全。 近两年,Google、Baidu、Facebook 等这样的互联网巨头,不谋而合地开始大力推行 HTTPS, 很多国内外的大型互联网公司也都已经启用了全站 HTTPS,这也是未来互联网发展的趋势。

为鼓励全球网站的 HTTPS 实现,Google 甚至调整了搜索引擎算法,让采用 HTTPS 的网站在搜索中排名更靠前。并且从 2017 年开始,Chrome 浏览器已把采用 HTTP 协议的网站标记为不安全网站,苹果 App Store 中的所有应用也都必须使用 HTTPS 加密连接;当前国内炒的很火热的微信小程序也要求必须使用 HTTPS 协议;新一代的 HTTP/2 协议的支持需以 HTTPS 为基础。因此想必在不久的将来,全网 HTTPS 势在必行。

但是,如果网站想使用 HTTPS 服务,则必须为域名从数字证书授权机构(CA,Certificate Authority)申请相关的 SSL 证书。用户可申请各类 SSL 证书(包括免费申购 DV SSL 证书);同时,用户也可自愿选择将申购的证书一键部署于 CDN 平台,因平台全局自动化管理,采用了最优质的 HTTPS 加速解决方案,可帮助用户以最低的成本,享受最优的服务,完成网站 HTTP 到 HTTPS 的转换。

 

专业名词解释

HTTPS

HTTPS(HyperText Transfer Protocol over Secure Socket Layer),是以安全为目标的 HTTP 通道,即 HTTP 的安全版。

HTTPS 的安全基础是 SSL/TLS,它提供了身份验证与加密通讯的方法,现在被广泛用于万维网上安全敏感的通讯,比如交易、支付等。

 

SSL(Secure Socket Layer,安全套接字层)

SSL 由 Netscape 公司所研发,用以保障在 Internet 上数据传输之安全,利用数据加密 (Encryption) 技术,可确保数据在网络上传输过程中不会被截取。SSL 协议位于 TCP/IP 协议与各种应用层协议之间,为数据通讯提供安全支持。

 

TLS(Transport Layer Security,传输层安全)

传输层加密协议,其前身是 SSL 协议, 1999 年经过 IETF(The Internet Engineering Task Force 国际互联网工程任务组) 讨论和规范后,改名为 TLS。发展至今已经有 TLS 1.0、TLS 1.1、TLS 1.2 三个版本。TLS 1.3 改动会比较大,还处于待发布阶段,目前使用最广泛的是 TLS 1.1、TLS 1.2。

 

SSL 证书

SSL 证书就是遵守 SSL 协议的服务器数字证书,通过验证域名、服务器身份后,

由受信任的数字证书授权机构 CA 颁发,具有服务器身份验证和数据传输加密等功能。

 

CA

数字证书授权机构 (CA,Certificate Authority) 是负责发放和管理数字证书的权威机构,

并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。

 

CSR(Cerificate Signing Request,证书请求文件)

CSR 是制作 SSL 证书的必要文件,通常由 CA 机构自动生成,用户也可自己创建,

在生成 CSR 文件的同时也会生成私钥(由用户自己保管),用户只需把 CSR 文件提交给 CA,

CA 使用其根证书私钥对 CSR 文件签名即生成了用户的证书。

 

RSA

RSA 公钥加密算法是 1977 年由 Ron Rivest、Adi Shamir、Leonard Adleman 一起提出的,

它是第一个能同时用于加密和数字签名的算法,从提出到现今经历了各种攻击的考验,

能够抵抗到目前为止已知的绝大多数密码攻击,已被 ISO 推荐为公钥数据加密标准

 

ECC

ECC(Elliptic Curves Cryptography,椭圆曲线加密算法)也是一种公钥加密算法,

与主流的 RSA 算法相比,ECC 算法可以使用较短的密钥达到相同的安全程度,其安全性更高、处理速度更快。

其数学基础是利用椭圆曲线上的有理点构成 Abel 加法群上椭圆离散对数的计算困难性。

 

域名型 SSL 证书(DV SSLDomain Validation SSL

即证书颁布机构只对域名的所有者进行在线检查,通常是验证域名下某个指定文件的内容,或者验证与域名相关的某条 TXT 记录;

比如访问 [http|https]://www.mimvp.com/.../test.txt,文件内容: 2016082xxxxxmimvpcom2016

或添加一条 TXT 记录:www.mimvp.com –> TXT –> 20170xxxxxmimvpcom2066

 

企业型 SSL 证书(OV SSLOrganization Validation SSL

是要购买者提交组织机构资料和单位授权信等在官方注册的凭证,

证书颁发机构在签发 SSL 证书前,不仅仅要检验域名所有权,

还必须对这些资料的真实合法性进行多方查验,只有通过验证的才能颁发 SSL 证书。

 

增强型 SSL 证书(EV SSLExtended Validation SSL

与其他 SSL 证书一样,都是基于 SSL/TLS 安全协议,

但是验证流程更加具体详细,验证步骤更多,

这样一来证书所绑定的网站就更加的可靠、可信。

它跟普通 SSL 证书的区别也是明显的,安全浏览器的地址栏变绿

如果是不受信的 SSL 证书则拒绝显示,如果是钓鱼网站,地址栏则会变成红色,以警示用户。

 

 

SSL 证书级别

分为三种类型,域名型SSL证书(DV SSL)、企业型SSL证书(OVSSL)、增强型SSL证书(EVSSL)

https-ssl-mian-fei-zheng-shu-fu-wu-shen-qing-01

1. DV型和OV证书的区别

DV证书就是域名型证书,OV证书就是企业型证书。

DV和OV证书最大的差别是:DV型证书不包含企业名称信息,OV型证书包含企业名称信息。

DV和OV证书在用户查看证书的详情是,OV型证书会在证书的Subject中显示域名+单位名称等信息,DV型证书只会在证书的Subject中显示域名。

 

2. OV型和EV型证书的区别

OV型和EV型证书,都包含了企业名称等信息,

但EV证书因为其采用了更加严格的认证标准,浏览器对EV证书更加“信任”,

当浏览器访问到EV证书时,可以在地址栏显示出公司名称,并将地址栏变成绿色。

 

如果是个人用户,可以选择便宜甚至免费的DV证书。

1、Let's Encrypt:免费,快捷,支持多域名(不是通配符),三条命令即时签署+导出证书(推荐)。缺点是暂时只有三个月有效期,到期需续签。

2、StartSSL 免费DV证书:不推荐!

3、Comodo PositiveSSL:便宜,单年49美刀,可签署ECC SSL证书。

4、RapidSSL:单年59美刀,并没有什么优缺点。

5、沃通(Wosign)免费DV证书:不推荐!

6、腾讯云:SSL证书购买 (有免费,支持导出证书,可用于其它云产品;支持多次申请,每次对应一个标准域名)

7、阿里云:云盾证书服务 (有免费

8、百度云:购买新证书 (有免费,不支持导出,只可用于百度云产品)

9、七牛云: SSL证书服务有免费,需登录查看)

10、又拍云:SSL证书申购有免费,需登录查看)

国内BAT免费证书期限均为1年,每个证书对应一个独立的域名(https://mimvp.com),可以申请多个证书,前提是需要注册账号。

Let's Encrypt免费证书期限均为3个月,证书支持泛域名(支持多个域名)

另外,2个已经被Firefox, Chrome等浏览器明确表示弃用的CA厂商:

不推荐申请 StartSSL免费DV证书 和 沃通(Wosign)免费DV证书

更多免费SSL证书,请参考:十大免费SSL证书:网站免费添加HTTPS加密

 

便宜SSL证书的有很多家:

Namecheap:Cheap SSL Certificates from $7.95/yr • Namecheap.com

ssls:SSL Certificates. Buy Cheap SSL Certs from $4.99/yr

cheapssl:Cheap SSL Certificates. Buy or Renew Cheapest SSL at $4.80

Gogetssl: https://www.gogetssl.com/domain-validation/comodo-positive-ssl/

Starfieldtech: https://www.starfieldtech.com/

 

 

DV, OV, EV三种SSL证书的区别,如下表

证书类型 DV (Domain Validation) OV (Organization Validation) EV (Extended Validation)
申请资料 域名所有权

OV授权书

公司营业执照扫描件

等(可搜索查看详情)

EV授权书

公司营业执照扫描件

律师函

等(可搜索查看详情)

CA审核方式 机器审核 人工审核 人工审核
申请耗时 小时 一般在几个工作日 一般在几个工作日
绿色地址栏
安全保障 密文传输 密文传输 密文传输
单域名价格Geotrust.com $49/year (rapidssl) $199/year $299/year 

 

域名所有权可以通过两种途径来验证

1. whois查出来的Registrant Contact Email

2. 在对应域名所在服务器上放置特定文件,供CA厂商验证(此方式用的最多

直观上区分EV、DV与OV证书

1. 绿色地址栏,都是EV证书,DV与OV证书区分是EV证书可以在地址栏显示出公司名称,并将地址栏变成绿色

请参考沃通首页: https://www.wosign.com

https-ssl-mian-fei-zheng-shu-fu-wu-shen-qing-03

2. 个人感觉OV证书的性价比不高,通过地址栏颜色无法区别DV/OV证书,需要点开https证书详情才能区别。

对于普通网民而言,鉴别代价较大,DV和OV依照性价比选择。

3. 由于申请EV证书需要提供详细的材料,所以对于地址栏是绿色的网站,基本不会是钓鱼或诈骗网站。

如果是电子商务的网站,最好使用EV证书。 

另外,国内的SSL证书一般要比国外的贵,即使是国外CA厂商在国内的代理。

在选购的SSL证书的时候需要多对比几家CA厂商。

 

国际领先 CA 机构

国际顶级数字证书提供商主要有 Symantec、GeoTrust、TrustAsia、Let’s Encrypt

推出了域名型 SSL 证书(DV SSL),企业型 SSL 证书(OV SSL)、增强型 SSL 证书(EV SSL)的申购;

其中域名型 DV SSL 单域名证书当前免费申购。

1. Symantec

Symantec™(赛门铁克),是全球最大的信息安全服务提供商, 其颁发的证书能被所有浏览器支持与信任,可确保用户访问时浏览器给予正确的网页安全提示,确保了用户利益最大化,让用户真正感到安全可靠。

2. GeoTrust

GeoTrust,是全球第二大数字证书提供商,也是身份认证和信任认证领域的领导者, 该公司各种先进的技术使得任何大小的机构和公司都能安全、低成本地部署 SSL 数字证书和实现各种身份认证。

3. TrustAsia

TrustAsia®(亚洲诚信)亚数信息科技(上海)有限公司应用于信息安全领域的品牌, 专业为企业提供包含数字证书在内的所有网络安全服务,是Symantec™(赛门铁克)的白金合作伙伴。

4. Let’s Encrypt

Let’s Encrypt是目前最知名的开源SSL证书。工程师和开发者中使用 Let’s Encrypt 证书较多。通过官方申请的Let’s Encrypt 证书需要3个月续签一次。在中国,又拍云和Let’s Encrypt 联合推出了免费SSL证书,立即签署颁发,并实现了Let's Encrypt 自动续期功能。

 

常见 CA 厂商对比

https-ssl-mian-fei-zheng-shu-fu-wu-shen-qing-04

 

Symantec 证书为什么相比其他证书要贵

原因一

传输层加密仅仅是 SSL 证书的作用之一;

SSL 证书更主要的用处其实在于验证网站及其背后企业的真实性以及合法性

  • 更贵的 SSL 证书的验证过程通常更加严谨。
  • DV(Domain Validation)级别的证书(如你提到的 GeoTrust QuickSSL)在签发之前只会验证你对域名的使用权,并不对域名使用者本身进行任何验证。而更高端一点的 OV(Organization Validation)会验证域名背后的公司 / 组织的真实性和合法性(个人用户通常是无法获得 OV 证书的)。并且和 DV 不同,OV 证书签发之前是需要 paperwork 的,需要提交相关的证明、执照等材料。过程更复杂、签发更严谨,价格自然就更高。
  • 另外,你购买证书时往往还同时为顾客购买了一份保险(warranty):如果由于 CA 的失误给一个诈骗 / 非法的公司或组织颁发了证书,并且顾客在这种网站上消费造成了财产损失,CA 会在一定程度上对顾客进行赔付。不同价格的证书的赔付额度差异很大,条款亦可能有所不同。例如 RapidSSL 的保额为 $10,000 美元,而 Symantec Secure Site Pro 则为 $1,750,000 美元。
  • 总结:购买 SSL 证书时所付出的成本除了用于加密之外,其实更多的是为了让访客相信你的网站是合法的、可信赖的。

原因二

比较价格的时候,只考虑外观效果(绿锁)和加密强度这两个因素是不完全的,其他因素:

  • 证书的适用范围、功能、有效期
  • 颁发公司的公信力
  • 证书这种东西,信任链的顶层就是颁发公司,知名公司的信用当然比一个名不见经传的小公司值钱得多
  • 颁发公司对证书密钥的保护能力
  • 服务条款的差别
  • 证书维护、更新、废弃,担保、赔偿

原因三

证书不仅是加密用的,也是身份的证明。

一个信任的CA颁发的证书,证明效力就要比不信任的CA颁发的证书更好。

贵的证书也是这样,它的证明效力,要比便宜的证书多很多的。

原因四

付费证书的价值在于其签名,签名意义在于标示你是可信的服务方而非伪造的钓鱼者。

另外赛门铁克 pro 系列证书除支持 RSA 算法外还支持 ECC 算法

原因五

另外 单纯从技术角度,symantec和 GeoTrust 的区别如下:

  • 算法支持上 Symantec(支持RSA、 DSA、 ECC三种算法)Geotrust(支持RSA 、DSA两种算法)
  • 兼容性 Symantec > Geotrust ; Symantec(原verisign)可兼容市面上所有的浏览器,对移动端的支持也是最好的
  • OCSP 响应速度:Symantec > Geotrust
  • CA 安全性 方面 Symantec > Geotrust ,symantec是国际知名安全厂商,CA的安全级别也是国际第一的安全系数。
  • Symantec 证书除实现加密传输以外,还另外有恶意软件扫描和漏洞评估的附加功能。GeoTrust证书没有
  • Symantec对证书有商业保险赔付保障,金额最高为175万美金,GeoTrust最高为150万美金

 

SSL 证书兼容浏览器

浏览器 Symantec EV型 Geotrust EV型 Symantec OV型 Geotrust OV型 TrustAsia DV型
IE6(有SHA2补丁) 支持 支持 支持 支持 支持
IE(8+) 支持 支持 支持 支持 支持
QQ (9.5.1/9.5.2) CT错误 CT错误 CT错误 CT错误 CT错误
QQ(7+) 支持 支持 支持 支持 支持
百度(6+) 支持 支持 支持 支持 支持
遨游(4.4+) 支持 支持 支持 支持 支持
360(8.1) 支持 支持 支持 支持 支持
360(6+) 支持 支持 支持 支持 支持
UC(5+) 支持 支持 支持 支持 支持
搜狗(6+) 支持 支持 支持 支持 支持
猎豹(3+) 支持 支持 支持 支持 支持
2345(7.1+) 支持 支持 支持 支持 支持
枫叶(2+) 支持 支持 支持 支持 支持
世界之窗(3.6+) 支持 支持 支持 支持 支持
Opera(34+) 支持 支持 支持 支持 支持
Safari(5+) 支持 支持 支持 支持 支持
Edge 支持 支持 支持 支持 支持
Firefox(25+) 支持 支持 支持 支持 支持
Chrome(53/54) CT错误 CT错误 CT错误 CT错误 CT错误
Chrome(46+) 支持 支持 支持 支持 支持

注:CT (Certificate Transparency) 为Google浏览器提供的用于监测和审核 HTTPS 证书的策略,因 chrome53/54 版本内核BUG,Symantec CA机构所有2016年6月1日之后的证书都会被此问题影响出现CT错误的情况,Chrome方面在第一时间通过自动补丁方式处理了此问题,并在55版本修复此问题,在能正常连接Chrome的服务器的客户都不会被此问题影响,但因中国大部分用户不能访问到Chrome的服务器,所以建议升级至55+版本来解决这个问题。

 

ECC 证书兼容性(ECC证书是什么

    ECC SNI
操作系统 Microsoft Windows Vista+ Vista+
  Apple MacOS 10.6+ 10.5+
  Apple iOS 7+ 8+
  Google Android 4.0+ 3.0+
浏览器 Microsoft Internet Explorer 7+ 7+
  Mozilla Firefox 2.0+ 2.0+
  Google Chrome 1.0+ 6.0+
  Apple Safari 4+ 3+

浏览器支持矩阵

  IE Firefox Chrome
Win-7 支持(IE 8 和 IE 9) 支持(FF 19) Works(Chrome 25)
Win Vista 支持(IE9,IE8,IE7) 支持(FF 19) Works(Chrome 25)
Win XP 不支持 支持(FF 19) 不支持
Linux 不可用

支持(FF 11 在 RHEL 5.1 上)
据 https://wiki.mozilla.org/NSS:Versions 称,

FF 自 FF 2.0.0.14 版起已开始使用 NSS3.11

 
Mac 不可用(最新版本是 IE 5) 支持(FF 19) 支持(Chrome 25)

 

国内提供SSL证书服务的云商列表:

https-ssl-mian-fei-zheng-shu-fu-wu-shen-qing-05

 

SSL 证书价格又拍云

https-ssl-mian-fei-zheng-shu-fu-wu-shen-qing-06

 

例如:米扑科技,则采用的免费试用版 TrustAsia

米扑科技https://mimvp.com

https-ssl-mian-fei-zheng-shu-fu-wu-shen-qing-02

 

 

SSL 域名检测

米扑科技: https://mimvp.com

MySSL:https://myssl.com/mimvp.com

SLLShopper:https://www.sslshopper.com/ssl-checker.html#hostname=mimvp.com

ChinaSSL:https://csr.chinassl.net/ssl-checker.html

 

 

参考推荐

https 免费证书申请与安装

十大免费SSL证书:网站免费添加HTTPS加密

SSL 证书服务,大家用哪家的 (知乎)

httpd使用ssl模块配置HTTPS

Nginx使用ssl模块配置HTTPS

Mac 安装Nginx with-http_ssl_module

HTTPS 和 HTTP 站点的优劣

Let’s Encrypt 加密SSL证书并强制启用HTTPS访问

CentOS 7.2 / 6.5 系统安装指引