1 . 什么是SSL证书
通俗的说,只要有网站就需要SSL证书。它是帮助网站从不安全的 http 协议变为安全的 https 协议的一种数字证书。SSL证书以 pem/pfx/cer/crt/jks 等格式的文件部署在网站的服务器上。
SSL证书就是利用Web服务器与浏览器以及客户端之间建立加密链接的加密技术,通过配置和应用SSL证书来启用HTTPS协议,来保证互联网数据传输安全的行之有效的解决方案。
2 . 关于SSL证书有效期
由于SSL证书行业规则调整,自 2020 年 9 月 1 日起,SSL证书一次性多只能签发1年(准确的说是13 个月),但您依然可以一次性采购 1-6 年,这样的好处是避免每年都要走一次证书采购的商务流程,只要在采购的年限内,任何时间内生成的新证书均为 13 个月,在13个月到期之前会自动给您下一个 13 个月的证书,您直接更新到服务器上即可。
3 . SSL证书根据验证级别不同分为三种:
域名型SSL证书(DV SSL)
企业型SSL证书(OV SSL)
增强型SSL证书(EV SSL)
三个类型的证书对比:
对比 | 域名型SSL (DVSSL) | 企业型SSL (OVSSL) | 增强型SSL (EVSSL) |
---|---|---|---|
英文名称 | Domain Validation SSL Certificate | Organization Validation SSL Certificate | Extended Validation SSL Certificate |
审核内容 | 域名管理权限 | 域名管理权限; 企业名称、地址、电话等信息的真实性; | 域名管理权限; 企业名称、地址、电话等信息的真实性; |
颁发周期 | 几分钟-几小时 | 3-5个工作日 | 5-7个工作日 |
赔付保障 | 10-50万美金 | 50-150万美金 | 150-1750万美金 |
OCSP | 国外通用版 | 可定制化中国版 | 可定制化中国版 |
CRL | 国外通用版 | 可定制化中国版 | 可定制化中国版 |
访问体验 | 一般 | 效率更高 | 效率更高 |
浏览器地址栏 | https + 小锁标志 | https + 小锁标志 + 证书中显示公司名称 | https + 小锁标志 + 证书中显示公司名称 + 绿色地址栏 + 公司名字直显在浏览器地址栏 |
证书详情 | 使用者身份只显示某某域名 | 使用者身份显示公司名称 | 使用者身份显示公司名称 |
支持类型 | 单域名版 多域名版 通配符版 | 单域名版 多域名版 通配符版 | 单域名版 多域名版 |
一般用途 | 个人站点; iOS应用分发下载; 登录等单https加密需求的链接。 | 企业,政府机关,各类组织团体等。 | 企业官网、电商、P2P等互联网金融网站 |
价格 | 数百元到数千元 | 数千元到数万元 | 数千元到数万元 |
DV SSL证书仅仅需要验证一下域名管理权。
验证方式:验证SSL申请人是否对域名拥有管理权限的时候,向购买域名时填写的管理员邮箱(即域名的 whois 信息中的邮箱地址)或 admin@yourdomain.com (包括 admin、administrator、postmaster、webmaster 前缀)发一封邮件,申请人需要登陆该邮箱,点击确认链接完成验证。除此之外,还可以通过添加一个临时的 DNS 解析来验证域名管理权。
OV SSL证书需要经过对网站所有者的企业信息验证和域名管理权的验证后签发。签发出来的SSL证书中包含网站经营者信息,这类证书需要验证域名的管理权限和企业的真实性。
增强型 SSL证书(EVSSL)需要验证域名管理权限和企业真实性(这两项验证方式同以上企业型SSL证书的验证方式一样)。另外,如果公司成立未满三年,部分品牌的 EV SSL证书需要提供银行的开户许可证等额外的公司证明材料。
4 . 申请SSL证书需要什么条件?注意哪些问题?
首先,申请者要有一个自己的域名或者公网 IP 地址,确保域名或 IP 状态正常,如域名未过期,未被停止服务等。
其次,如果是申请 OV 或者 EV SSL证书,一定要确保企业状态是正常的,没有吊销等异常状态。
后,环度提示,环度的SSL证书不支持任何违法犯罪的网站来申请,一旦发现,立即吊销且不退款。
5. 网站为什么需要安装配置SSL证书?
加密重要数据,防止网站访问者个人敏感信息(账号、地址、手机号等机密信息)被劫持或窃取。
达到 PCI 的安全标准,SSL是PCI(支付卡行业)合规性的关键组成部分。
安全身份认证,验证网站的真实身份,有效防止钓鱼网站。
防止数据在传输过程中被篡改,保证数据的完整性和安全性。
地址栏安全锁,地址栏的“锁”型标志给用户安全感, 提升用户信任度。
提升品牌形象,确保网站的安全性,从而树立网站可信形象。
更符合搜索引擎对网站的 SEO 要求,提高搜索排名顺序,给企业带来更多访问量。
提高页面访问速度,提高用户体验,防止客户流失。
消除浏览器对网站的“不安全”提示,减少用户流失风险。
满足与第三方合作的连接安全标准,很多第三方平台,例如小程序、抖音等都不支持没有SSL证书的网站。
6 . SSL数字证书厂商为什么大多数都是国外的
网站的安全离不开SSL数字证书,安全的SSL数字证书需要从正规的SSL数字证书厂商申请。环度网信销售的 SSL数字证书均拥有通用的“信任根预埋”,通过了严格审查程序,只有在访问拥有“信任根”的网站时,浏览器才会默认网站是安全、合法的,而没有“信任根”预埋的网站则会自动弹出安全警告,提示网民该网站存在安全隐患。
由于中国的数字证书相关领域起步相对较晚,所以很多中国品牌的SSL证书都没有进入到一些稍微老旧一些的浏览器版本和操作系统中,所以,在兼容信不过方面,目前还是以国外的证书品牌更为成熟。
7 . 如何选择 SSL证书
SSL证书有数十款,种类复杂,品牌繁多,价格在百元至万元不等。
首先要考虑自身拥有的域名数量情况以及后续域名增加情况。
只有1个域名,以后也不会再增加其他域名,建议购买单域名证书;
有多个子域名,建议购买通配符证书;
有多个不同的主域名,而且以后还会新增其他域名,建议购买多域名证书。
建议使用环度网信的证书选购助手:https://www.ihuandu.com/guide.html,或者直接联系本站的在线客服来为您筛选证书类型。
8. 不同SSL证书价格不同的原因是什么?为什么相差那么大?
首先,不同品牌的SSL证书所需的人力成本、技术、推广费用、售后服务等因素会对价格产生影响。
其次,不同类型的证书价格也会不同:1、按域名数量可以分为单域名证书、多域名 证书、通配符证书这三类。单域名SSL证书只能保护一个域名,因此价格相对便宜。多域名SSL证书可以保护多个域名,所以价格会高一些。通配符证书可以保护一个域名以及它所有的下一级子域名,而且增加新的子域名不用另外审核及付费,所以价格更高一些。2、按照验证方式可以分为 DV证书(域名验证型)、OV证书(企业验证型)、EV证书(扩展验证型)。DV SSL证书只需验证网站的域名所有权,10分钟左右即可颁发证书,因此价格相对便宜。OV SSL证书和EV SSL证书不仅需要验证域名的所有权,还需要验证企业信息,需提供公司营业执照扫描件和相关信息等材料,需要经过人工审核,一般需要2-3个工作日颁发,所以价格要高一些。
此外,还有一些证书本身附带有一些更加丰富的功能,这也是导致价格出现很大差异的原因。
9 . SSL证书申请的流程
在环度网信,基本只需要在系统中按照提示下一步下一步的进行即可,基本环节如下:
首先:选择购买SSL证书后,在线生成 CSR文件(同时也会生成密钥KEY文件),提交订单的同时将 CSR文件一起提交到环度网信的证书管理系统,环度网信将通过 api 将相关信息提交给 CA 系统。
其次:CA 机构在收到申请之后会进行验证。DV 证书只需验证域名,验证通过就会收到 CA 机构发送给域名管理员的邮件,打开邮件并点击确认即可完成邮件验证。OV 或 EV 证书还需要对企业相关电子信息进行验证,基本是人工审核,需要 1-5 个工作日。
后: CA 机构的验证通过之后就会颁发证书了,用户可在环度网信的证书管理系统中自行下载然后部署在服务器上,这就完成了所有的操作步骤。
10 . SSL证书过期了怎么续费?
SSL证书需要用新的证书文件来替换即将过期的SSL证书文件,当您的旧证书还没到期时,环度网信会把老证书未用完的有效期加载到续费后获取到的新证书中,避免浪费。
11 . 网站安装了SSL证书,但是提示SSL证书无效是什么原因?
A、使用自签名SSL证书:自签名证书是一种自己生成的SSL证书,其并没有通过合法第三方CA机构进行审核签发,所以任何人都是可以签发生成(钓鱼网站也不了例外),所以容易被仿冒或者伪造,以及受到中间人的攻击,其风险是较大的,因此许多浏览器都是不信任自签名证书。
B、SSL证书兼容性较差:并不是所有的CA机构签发的SSL证书都是支持通用所有浏览器都信任的。若用户选择的CA机构并不是通过国外WebTrust认证,那么他签发的SSL证书在许多浏览器上都不被信任。所以网站申请SSL证书时,一定要选择通过国外WebTrust认证的CA机构,且能够兼容老旧系统的品牌。您在环度网信上申请的所有证书均有不错的兼容性。
C、SSL证书没有正确安装:如果网站的SSL证书没有正确的安装,用户在进行访问的时候也会有一些风险提示,如提示该页面存在不安全因素。这时只需要将这些http调用资源改为https调用即可。
D、浏览器对SSL证书不信任:有部分SSL证书品牌因为某些原因被浏览器列入”黑名单”,也是公开宣布将不再信任该CA机构签发的SSL证书。所以用户若选择这类的SSL证书,浏览器就会提示证书无效。
E、网站SSL证书已经过期或者还没有生效:出现这种原因主要是电脑系统的日期出现了错误,或者是安装的SSL证书已经过有效期。
F、SSL证书中包含的域名和网站不一致:通常情况下每个SSL证书所对应的网站域名也都是的,当网站部署的SSL证书中所包含的域名与访问的域名不一致,系统就会发出SSL证书无效警告等。解决方法:用户可以重新去申请一个SSL证书,或者原先申请的是多域名型证书可以直接将该域名增加到证书上即可。
G、网站页面中存在不安全信息,目前都提倡每一个页面使用 HTTPS,则网站所有的内容都必须是 HTTPS。如果遇到图片、JS 脚本,FLASH 插件是通过 HTTP 方式去调用的,就会发生这种错误。解决方法:将调用的元素http 改成 HTTPS 即可。
12 . 浏览器是如何验证SSL证书的有效性的?
A、检查SSL证书中的域名是否与该网站的域名一致
浏览器会对域名和SSL证书的一致性进行检查,如果不一致,则浏览器会发出“此网站出具的安全证书是为其他网站地址颁发的。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站”等类似这样的警告信息。
B、检查SSL证书是否由受信任的 CA 机构颁发
正规CA机构的根证书都会被植入到各大浏览器中,如果浏览器发现SSL证书不是由受信任的CA机构颁发的,则会有安全警告发出,例如非正规CA机构颁发的自签名SSL证书就会出现这种情况。
C、检查SSL证书是否在有效期内
浏览器会检查SSL证书的有效期的,如果证书过期,则会发出“此网站出具的安全证书已过期或还未生效“。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。
D、检查SSL证书的吊销列表是否可用
浏览器会检查SSL证书中的证书吊销列表,如果已经被吊销,浏览器则会显示警告信息:“此组织的证书已被吊销"。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。
13 . HTTPS网站可以打开,但浏览器地址栏没有安全锁,是因为证书的问题吗?
除非证书过期,否则这种情况与证书无关。地址栏没有安全锁的原因是网站源码不符合SSL证书规范,由于 HTTPS 是一个安全协议抬头,源码中的 HTTP 是普通的协议资源,这个源码是不支持 HTTPS 的,所以在 HTTPS 网站调用就会不安全,因此就要将自己的网站源码所有HTTP协议的改成//自动协议或者HTTPS://抬头。同理,电脑的浏览器打开 HTTPS 都正常,但一些手机比如安卓手机反而提示不信任,所以每次安卓手机浏览器访问都会有警告提示,只要将这个代码删除就好了。当然也有其它性质差不多的问题,如果您这边无法自己排查,可以联系环度网信对口工程师帮助您。
14 . 如何判断 SSL证书是否安装呢?
打开地址栏输入:https://+ssl证书绑定的域名,可以看到https://+域名的页面能正常访问,且浏览器地址栏中显示安全锁标志,说明SSL证书已经生效。
注意:比较老的IE6、IE7,还有安卓 2.2 这种较老旧的版本,因为CA机构都不会让他们信任,所以这些浏览器提示有安全隐患,打不开也是正常的。
其他更多问题,可以随时联系环度网信,我们真的会竭诚为您服务