SSL/TLS 证书购买指南

SSL/TLS 证书购买指南


没有人喜欢被告知他们必须做某事。 反对这一点只是人类的天性,但有时你能做的最好的事情就是咬紧牙关,顺其自然。 谷歌和其他浏览器制造商去年夏天发布的 HTTPS 指令就是这种情况。

如今,任何仍通过 HTTP 提供服务的网站都被标记为“不安全”,这是一个威胁流量和转化的绰号。 这意味着现在每个网站都需要 SSL/TLS 证书,这有助于迁移到 HTTPS 并有助于保护您的网站与其访问者之间的通信。

从 2018 年 7 月开始,Chrome 将所有 HTTP 站点标记为“不安全”(了解更多)。

本指南将介绍您在购买 SSL/TLS 证书时需要考虑的事项。 我们将从技术的简要概述开始,然后深入研究在为您和您的网站决定正确的证书时需要整理的细节。

SSL/TLS 101:概述

为了在 Internet 上安全通信,托管网站的服务器和尝试与其连接的客户端需要使用加密。 加密是一个数学过程,它使除授权方之外的任何人都无法读取数据。 它使用加密密钥执行,为了让客户端和服务器安全连接,两者都需要拥有相同密钥的副本。

但是,这带来了一个问题,您如何安全地交换这些密钥? 如果攻击者能够破坏加密密钥,它会使加密变得无用,因为攻击者仍然可以看到所有正在交换的数据,就好像它是明文一样。

SSL/TLS 是密钥交换问题的解决方案。

SSL/TLS 完成了两件事:

  1. 它对服务器进行身份验证,以便客户端知道他们正在连接的实体
  2. 它有助于交换可用于安全通信的会话密钥

这可能看起来有点抽象,所以让我们开始吧。

每当客户端尝试通过 HTTPS 连接网站时——这是互联网使用了数十年的超文本传输​​协议 (HTTP) 的安全版本——在所述客户端和托管该网站的服务器之间会在幕后发生一系列交互.

SSL/TLS 加密涉及两种类型的加密密钥。 有我们刚才提到的对称会话密钥。 它们既可以加密也可以解密,并用于在连接本身期间进行通信。 其他密钥是公钥/私钥对。 这种加密形式称为公钥密码术。 公钥可以加密,私钥可以解密。

一开始,客户端和服务器将选择一个相互支持的密码套件。 密码套件是一组算法,用于控制将在连接期间使用的加密。

一旦就密码套件达成一致,服务器就会发送其 SSL 证书和公钥。 通过一系列检查,客户端对服务器进行身份验证,验证其身份以及它是否是相关公钥的合法所有者。

在此验证之后,客户端生成一个会话密钥(或可用于派生密钥的秘密)并使用服务器的公钥对其进行加密,然后再将其发送到服务器。 服务器使用其私钥解密会话密钥并开始加密连接(这是最常见的密钥交换形式,与 RSA 一样——Diffie-Hellman 密钥交换略有不同)。

如果这看起来仍然有点复杂,让我们进一步简化它。

  • 为了安全通信,双方需要共享对称会话密钥
  • SSL/TLS 促进了这些会话密钥与公钥加密的交换
  • 验证服务器身份后,会话密钥或秘密使用公钥加密
  • 服务器使用其私钥解密会话密钥并开始加密通信

现在让我们了解一下您作为网站所有者在购买或获取 SSL/TLS 证书时需要考虑的事项。

购买 SSL/TLS 证书时要考虑什么?

当您购买 SSL/TLS 证书时,您需要对两个主要问题做出决定:

  1. 您需要覆盖什么表面?
  2. 你想维护多少身份?

当您可以回答这些问题时,选择证书就成为品牌和成本的问题,您就已经知道您需要的产品类型。

现在,在我们进一步讨论之前,让我们确定一个非常重要的事实:无论您如何回答这两个问题,所有 SSL/TLS 证书都提供相同的加密强度。

加密强度由支持的密码套件以及连接两端的客户端和服务器的计算能力共同决定。 市场上最昂贵的 SSL/TLS 证书和完全免费的证书将促进相同级别的行业标准加密。

证书的不同之处在于身份级别及其功能。

让我们从您需要覆盖的表面开始。

1- SSL/TLS 证书功能

现代网站的发展已经远远超出了互联网早期的发展,当时您仍然在页面底部放置计数器以跟踪流量。 如今,组织在内部和外部都有复杂的网络基础设施。 我们谈论的是多个域、子域、邮件服务器等。

幸运的是,SSL/TLS 证书与现代网站一起发展,以帮助更好地保护它们。 每个用例都有一个证书类型,但您有责任了解您的特定用例将是什么。

让我们看看四种不同的 SSL/TLS 证书类型及其功能:

  • 单域 – 顾名思义,此 SSL/TLS 证书适用于单个域(WWW 和非 WWW 版本)。
  • 多域 – 这种类型的 SSL/TLS 证书适用于拥有多个网站的组织,它们可​​以同时保护多达 250 个不同的域。
  • 通配符 – 单个域的安全性,以及所有随附的一级子域 – 尽可能多(无限制)。
  • 多域通配符 – 具有完整功能的 SSL/TLS 证书,可以同时加密多达 250 个不同的域和所有伴随的子域。

关于通配符证书的简短说明。 通配符非常通用,它们可以加密无限数量的子域,甚至能够保护发行后添加的新子域。 生成通配符时,在您希望加密的子域级别使用星号(有时称为通配符)。 这表示已验证域的 URL 级别的任何子域都与证书的公钥/私钥对有效关联。

2- SSL/TLS 证书验证级别

在确定需要覆盖哪些表面之后,就该确定要声明多少身份了。 验证分为三个级别,这些是指对颁发您的 SSL/TLS 证书的证书颁发机构进行审查的数量,这将使您和您的网站通过。

三个级别的验证:域验证、组织验证和扩展验证。

最基本的验证级别称为 域验证. 只需几分钟即可完成此验证并颁发证书,但它提供的身份信息最少 – 仅验证服务器。 DV SSL/TLS 证书是最常用的,但由于缺乏身份,使用它们的网站会受到中立的浏览器处理。

组织验证 提供更多的组织信息,让您网站的访问者更好地了解他们正在与谁打交道,前提是他们知道在哪里寻找。 OV SSL/TLS 证书需要适度的审查,但是,它们没有断言足够的身份来避免中立的浏览器处理。 OV SSL 证书也可以保护专用 IP 地址。 它们通常用于企业环境和内部网络。

SSL/TLS 证书可以断言的最大身份来自 扩展验证 等级。 EV SSL/TLS 证书需要 CA 的深入审查,但它们声明了足够的识别信息,Web 浏览器将为部署它们的网站提供独特的待遇——在浏览器的地址栏中显示其经过验证的组织名称。

关于验证级别和功能需要考虑的一件快速事情是,EV SSL/TLS 证书永远不会与通配符功能一起出售。 这是由于通配符证书的开放性,我们在上一节中讨论过。

选择证书颁发机构和定价

既然你知道你需要什么,让我们谈谈从哪里获得它。 不只是任何人都可以颁发有效的 SSL/TLS 证书,有效是指受信任。 您必须通过受信任的证书颁发机构或 CA。 CA 受到严格的行业要求的约束,并接受定期审计和审查。 其原因源于公钥基础设施的工作方式。 PKI 是支撑 SSL/TLS 的信任模型,这就是为什么用户的浏览器可以验证并信任给定 SSL/TLS 证书的真实性。

虽然深入研究 PKI 和根超出了本文的范围,但重要的是要知道只有受信任的 CA 才能颁发受信任的证书。 这就是为什么您不能只发布您自己的并自行签名的原因。 如果不手动调整其设置,浏览器将无法信任它。

但是您应该选择哪个 CA?

这取决于你在寻找什么。

对于许多不需要声明太多身份的简单网站,来自 Let’s Encrypt(或其他免费 CA)的免费 DV SSL/TLS 证书是一个不错的选择。 它不花任何钱,足以满足您的需求。

除此之外的任何东西,或者如果您不是特别精通技术,您应该使用商业证书颁发机构,如 DigiCert、Sectigo、Entrust Datacard 等。

但事情是这样的:直接从 CA 购买并不能获得最优惠的价格。

通过从多个 CA 提供 SSL/TLS 证书的 SSL 服务购买,您可以获得定价和选择的最佳组合。 原因很简单,这些 SSL 服务以远低于零售客户获得的价格从 CA 批量购买证书。 这让他们能够以极低的价格出售证书,将节省的钱转嫁给消费者。

在某些情况下,通过 SSL 服务而不是直接购买,您可以节省多达 85% 的制造商建议零售价。

请记住,专门的 SSL 服务专门用于 SSL/TLS,他们将提供更好的客户支持,他们可以帮助您安装它,并且他们知道如何优化您的实施以提供您的网站可能的最佳安全性。

与免费 CA(甚至一些商业 CA)相比,您必须通过票务系统工作或筛选旧论坛帖子以获得众包支持,其价值是显而易见的。

当然,对于一些精通技术的网站所有者来说,支持问题不是问题。 如果您知道如何自己支持一切,那么走免费路线当然没有错。

但是对于其他站点所有者,您为证书本身支付的费用更少,而为围绕它构建的支持设备支付的费用更多。 您也无法使用免费的 SSL/TLS 访问更高的验证级别 (OV/EV) 或高级功能(多域、通配符)。 您必须从商业 CA 或 SSL 服务中获取这些信息。

那么,付费还是免费? 这取决于您或您的组织在技术上的熟练程度,以及您是否想要超越单域 DV 的功能和验证。

SSL/TLS 买家指南常见问题

Q1。 扩展验证值得吗?

对于许多网站来说,EV SSL/TLS 证书更多的是投资而不是支出。 没有其他方法可以断言最大身份并获得您的网站优惠浏览器待遇。 当访问者到达一个网站并看到地址栏中显示的组织名称时,它会产生深远的心理影响。 虽然这种影响很难在纸上量化,但调查一致发现,人们对访问有 EV 的网站比访问没有它的网站感觉更好。

在互联网上,每一点都很重要,所以如果您是一个想要在网络上声明身份的组织,EV SSL/TLS 证书是最好的……

Leave a Comment