在网络时代,确保网站用户数据安全显得愈发关键。SSL证书作为网络安全的关键要素,对网站而言具有重大意义。
SSL(Secure Sockets Layer)证书是一种数字证书,用于加密和验证网络通信。它存在于客户端(浏览器)与服务器之间的数据传输过程中,以确保数据的安全性和完整性。
一、SSL证书的作用
数据加密
SSL证书能够对网站用户输入的数据进行加密,防止数据在传输过程中被窃取或篡改。有了SSL证书,即使数据被黑客截获,他们也无法获取明文内容。
身份验证
SSL证书能够验证网站的真实身份,让用户确信他们正在访问的是合法的网站,而不是假冒网站。通过SSL证书,用户可以识别网站的域名和证书颁发机构,确保网站的安全性。
提升用户信任
拥有SSL证书的网站会在浏览器地址栏显示“HTTPS”和锁形图标,这可以让用户知道他们的数据是安全的。从而提高用户对网站的信任度,提高转化率。
搜索引擎优化(SEO)
谷歌等搜索引擎已经将SSL证书作为搜索排名的一个权重因素。拥有SSL证书的网站在搜索结果中的排名可能会更高,从而提高网站流量和曝光度。
法规合规
在我国,网络安全法规定网络运营者应当采取技术措施和其他必要措施,保护用户信息安全。拥有SSL证书是实现数据安全的重要手段,符合法规要求。
二、SSL证书的分类
SSL证书有三种:DV SSL证书、OV SSL证书和EV SSL证书,其实还有一种不常用的IV SSL证书。每一种SSL证书到底有什么不同?为何会出现这些不同类型的SSL证书?
① OV SSL证书的诞生
Netscape在1994年发明了SSL证书,就是现在大家常说的OV SSL证书,SSL证书中含有网站身份信息。SSL证书的目的是证明服务器的可信身份,如果服务器不可信,是一个假冒网站,那就应该提醒用户注意网站的身份,以免上当受骗。所以,从这个证书目的出发,SSL证书的主题信息中一定会有网站身份信息,包括单位名称、所在省市和国家等。小德目前电脑中能找到的最老的SSL证书如下图所示,证书主题中的CN字段(Common Name 公用名称)为网站域名,OU字段为单位部门名称,O字段为单位名称,L字段为单位所在城市,S字段为单位所在省份,C字段为单位所在国家。这就是现在的OV SSL证书,全名为单位验证SSL证书(Organization Validated SSL Certificate, OV SSL)。
也就是说,SSL证书发明出来时是只有OV SSL证书这一种证书的,那为何现在发展出DV SSL、IV SSL和EV SSL证书?首先,大家必须明白一个SSL证书的签发原则,即CA验证了什么信息,才可以在证书主题中显示什么信息,这是CA在签发数字证书的基本准则。所以,如果SSL证书中包含了网站域名、单位名称和单位注册信息,则CA机构一定要验证这些信息,这就是为何大家申请SSL证书都必须完成域名验证,验证网站域名的控制权。其次是CA必须验证的网站身份信息,这个需要人工处理,早期全球只有VeriSign一家签发SSL证书,所以,大家都得等VeriSign完成身份认证,VeriSign需要调查公司的注册信息、电话联系证书申请人核实证书申请信息和申请行为授权等,这就导致了签发一张SSL证书需要至少等一周时间。
② DV SSL证书的诞生
随着SSL证书的慢慢普及应用,申请一张SSL证书需要一两周时间,这是用户接受不了的,所以GeoTrust创始人&CEO Neal Creighton,CTO Chris Bailey 和首席工程师Kefeng Chen (陈克峰)在2001年发明了现在的DV SSL证书(Domain Validated SSL Certificate),自动化完成域名验证后即刻签发SSL证书-QuickSSL,这个产品大受欢迎,因为用户再也不用等一周时间才能拿到SSL证书了,也是这个产品让GeoTrust一举拿下25%的SSL证书全球市场份额。如下图所示,早期的DV SSL证书也是从签发OV SSL证书的CA系统签发,所以仍然保留了O字段和OU字段,O字段填写了网站域名而不是单位名称。
也就是说,GeoTrust发明了DV SSL证书后,SSL证书就有了两类:验证单位身份的OV SSL证书和只验证域名的DV SSL证书,而由于DV SSL证书可以实现自动化签发,所以不仅可以快速签发而且可以很便宜,甚至可以做到完全免费,这就使得SSL证书得到了快速普及应用,因为互联网也同时在全球飞速发展,需要大量的SSL证书。
③ EV SSL证书的诞生
随着DV SSL证书的普及使用,许多假冒银行网站也能申请到DV SSL证书,而浏览器显示DV SSL证书和验证网站身份的OV SSL证书一样有安全锁标识,这就无法帮助用户准确识别假冒银行网站。为此,CA/浏览器论坛于2006年推出了一种新的SSL证书类型—EV SSL证书,英文全名是Extended Validation SSL Certificate (扩展验证SSL证书), 意在更加严格地验证网站的身份,并在浏览器地址栏用绿色来突出显示部署了EV SSL证书的网站,绿色就是安全的意思,只要用户上网时看到地址栏变成了绿色,那这个网站就是可信网站!这是CA和浏览器产业界最伟大的创新,能非常简单直观地帮助网民识别什么网站是可信网站。最早显示绿色地址栏的浏览器是当时占绝对领导地位的IE浏览器,直到IE浏览器于2022年6月25日完全退出市场时还是能显示EV SSL证书的绿色地址栏。
至此,SSL证书就有了3种,分别是OV SSL证书、DV SSL证书和EV SSL证书,这是根据网站的身份认证严格程度分类的,DV SSL证书最简单,只验证域名所有权或控制权,可以完全自动化签发,所以可以做到免费。而OV SSL证书则需要验证证书主题中绑定的单位名称是否合法注册,并同时验证域名所有权或控制权。EV SSL证书则在OV SSL证书验证基础上需要验证申请单位不仅是合法注册的,而且是正常运营中,会验证是单位员工代表单位申请EV SSL证书,并且还需签订EV SSL证书用户协议,明确确认申请EV SSL证书是单位行为,申请证书必须有单位负责人授权签字,CA需要在验证单位电话号码后联系证书申请人完成电话验证。这三种SSL证书的主题信息分别如下图所示,下一图为DV SSL证书的主题信息,只显示网站域名,因为只验证了域名;二图为OV SSL证书的主题信息,不仅显示网站域名,而且显示单位名称、所在省市和国家。三图为EV SSL证书的主题信息,不仅显示网站域名,而且显示单位名称、所在省市和国家,而且还会显示单位注册信息,包括注册号、所在省市和国家、单位注册类型(企业、政府机构、商业机构和非营利机构)。
④ IV SSL证书的诞生
随着大量的个人网站也需要部署SSL证书,除了可以申请无身份信息的DV SSL证书外,个人用户也可以申请OV SSL证书来展示其网站的可信身份,则个人姓名只能显示在O字段,这显得有点不伦不类,下面一图所示,o = Richard Wang。为了解决这个问题,在2016年5月西班牙召开的第38次CA/浏览器论坛工作会议上提出了解决方案,在SSL证书国际标准中正式增加一种证书类型:IV SSL证书 (Individual Validated SSL Certificate),并增加两个专门的字段G (Given name,名字) 和 SN (Surname,姓)来显示个人的姓和名,下面二图所示,G=Richard和SN=Wang。
至此,SSL证书就有了现在大家看到的4种,分别是OV SSL证书、DV SSL证书、EV SSL证书和IV SSL证书,而由于DV SSL证书的免费普及使用,个人用户一般都申请了DV SSL证书,所以,大家常见的SSL证书就只有 DV SSL证书、OV SSL证书和EV SSL证书。根据《中国SSL证书市场发展趋势分析简报-2022Q4》的统计数据,截止到2022年12月31日的数据,仅验证域名的DV SSL证书占比 83.81%,验证网站身份的OV SSL证书占比 16.12%,而扩展验证网站身份的EV SSL证书仅占比 0.07%。这就是目前的全球SSL证书的三种常用的SSL证书的签发比例。
导致高达84%的用户选择DV SSL证书的原因有两个:一是DV SSL证书已经实现自动化申请、部署和续期,这是一个一劳永逸的方案而大受用户欢迎,把用户彻底从繁琐的证书申请工作解脱出来;二是常用的浏览器已经不再绿色地址栏特别显示EV SSL证书,各种SSL证书都是只显示安全锁标识,无法体现SSL证书中的身份信息的价值,所以,用户也就是不想费力费钱去申请无法自动化即刻签发的OV/EV SSL证书了。
三、SSL证书的种类
前面分别讲了四种SSL证书是如何产生的,这是根据网站身份认证方式不同而分类的,有仅验证网站域名控制权的DV SSL证书,有验证单位身份和域名控制权的OV SSL证书,有扩展验证单位身份和域名控制权的EV SSL证书,还要现在不太常用的验证个人身份和域名控制权的IV SSL证书。
而根据SSL证书绑定的域名类型分类,SSL证书可以分为单域证书、通配证书和多域证书。绑定一个域名的SSL证书称之为单域型SSL证书、绑定通配域名(*.domain.com)的SSL证书称之为通配型SSL证书、绑定多个单域或通配域名的SSL证书称之为多域型SSL证书。其中EV SSL证书不支持通配型,因为无法保证用户不会把通配证书中绑定的扩展验证身份信息用于其他非此身份的子域名网站。上面第三节的截图中第一个是DV SSL通配型证书,第二个是OV SSL通配型证书,第三个是EV SSL证书单域型证书。
四、SSL证书有效期
SSL证书在诞生时并没有证书有效期的限制,可以是5年或者10年,但是随着SSL证书的广泛使用,特别是2005年5月17日由VeriSign和Comodo牵头成立国际标准组织-CA/浏览器论坛,出台了一系列SSL证书标准,SSL证书有效期就开始从5年缩短到3年、2年、1年,这是考虑到电脑算力,特别是互联网算力的不断提升,太长有效期的密钥有可能被破解而威胁到https加密的安全。
根据谷歌于3月3日发布的根认证策略的预告,谷歌将推动SSL证书的有效期再次缩短到90天!意在推动SSL证书的自动化部署、提升SSL证书的安全性和生态系统的敏捷性,为下一步轻松过渡到抗量子算法的SSL证书做准备。估计这个革命性的变化会在今年年底或明年实现,这个动态值得SSL证书相关产业包括SSL证书提供商和SSL证书用户的高度重视。
五、为什么你的网站需要SSL证书?
保护用户数据安全:用户数据是网站的基石,保护用户数据安全是网站运营的基本职责。通过部署SSL证书,可以有效防止数据泄露,降低安全风险。
提高用户信任度:SSL证书能够建立用户对网站的安全信任,提高用户体验。尤其是在金融、电商等领域,用户更愿意信任拥有SSL证书的网站。
提升搜索引擎排名:拥有SSL证书的网站在搜索引擎中的排名更靠前,有利于吸引更多潜在用户,提高网站知名度。
符合法规要求:网络安全法规定网络运营者应当保护用户信息安全,部署SSL证书是实现数据安全的重要手段。
