京汨：SSL證書常見問題概覽

• 2019 年 10 月 5 日
• 筆記

什麼是SSL證書？

SSL證書就是遵守SSL安全套接層協議的服務器數字證書，而SSL安全協議最初是由美國網景Netscape Communication公司設計開發，全稱為安全套接層協議（Secure Sockets Layer）。

SSL證書指定了在應用程序協議（如HTTP、Telnet、FTP）和TCP/IP之間提供數據安全性分層的機制。它是在傳輸通信協議（TCP/IP）上實現的一種安全協議，採用公開密鑰技術，它為TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。由於此協議很好地解決了互聯網明文傳輸的不安全問題，很快得到了業界的支持，並已經成為國際標準。

SSL證書由瀏覽器中受信任的根證書頒發機構在驗證服務器身份後頒發，具有網站身份 驗證和加密傳輸雙重功能。

SSL證書有什麼優勢？

對比傳統的加密方式 ，SSL證書所擁有的優勢 。

1.簡單快捷：只需要申請一張證書，部署在服務器上，就可以在有效期內不用做其他操作。

2.顯示直觀：部署SSL證書後，通過HTTPS訪問網站，能在地址欄或地址欄右側直接看到加密鎖標誌，直觀地表明網站是加密的。使用EV證書，還能直接在地址欄看到公司名稱。

3.身份認證：這是別的加密方式都不具備的，能在證書信息裏面看到網站所有者公司信息，進而確認網站的有效性和真實性，不會被釣魚網站欺騙。

4.快速簽發：一鍵申請快捷高效。支持在一個平台下購買簽發多個不同品牌的SSL數字證書。

5.輕鬆一鍵部署：支持一鍵將數字證書部署在雲服務器，以最小成本在雲上應用。

HTTPS與HTTP有什麼不同？

HTTP是過去很長一段時間我們經常用到的一種傳輸協議。HTTP協議傳輸的數據都是未加密的，這就意味着用戶填寫的密碼、賬號、交易記錄等機密信息都是明文，隨時可能被泄露、竊取、篡改，從而被黑客加以利用，因此使用HTTP協議傳輸隱私信息非常不安全。

HTTPS是一種基於SSL協議的網站加密傳輸協議，網站安裝SSL證書後，使用HTTPS加密協議訪問，可激活客戶端瀏覽器到網站服務器之間的SSL加密通道（SSL協議），實現高強度雙向加密傳輸，防止傳輸數據被泄露或篡改。簡單講，HTTPS=HTTP+SSL，即HTTPS是HTTP的安全版。

主流數字證書都有哪些格式？

一般來說，主流的Web服務軟件，通常都基於OpenSSL和Java兩種基礎密碼庫。

Tomcat、Weblogic、JBoss等Web服務軟件，一般使用Java提供的密碼庫。通過Java Development Kit （JDK）工具包中的Keytool工具，生成Java Keystore（JKS）格式的證書文件。

Apache、Nginx等Web服務軟件，一般使用OpenSSL工具提供的密碼庫，生成PEM、KEY、CRT等格式的證書文件。

IBM的Web服務產品，如Websphere、IBM Http Server（IHS）等，一般使用IBM產品自帶的iKeyman工具，生成KDB格式的證書文件。

微軟Windows Server中的Internet Information Services（IIS）服務，使用Windows自帶的證書庫生成PFX格式的證書文件。

哪些網站必須啟用HTTPS加密？

在越來越重視信息安全的今天，HTTPS協議站點無疑已經成為主流。就目前形勢而言，以下網站必須啟用HTTPS協議加密：

• 電商平台及其相關支付系統網站
• 銀行系統、金融機構等高私密性網站
• 政府、高校、科研機構及其相關網站
• 以搜索引擎為主要流量來源的網站
• 以郵箱為主的企業交流平台

長遠來看，HTTPS協議網站已是必然趨勢。啟用HTTPS協議加密是當今網站建設的關鍵要點。不僅局限於上述網站類型，啟用HTTPS協議加密既是網站安全的必然需要，也是公司發展的提前布局。

服務器上裝SSL證書會不會影響用戶瀏覽網頁的速度？

服務器上裝SSL證書會增加服務器CPU的處理負擔，因為要為每一個SSL連接實現加密和解密，但一般不會影響太大。同時建議您注意以下幾點以減輕服務器的負擔：

僅為需要加密的頁面使用SSL，如https://xxx.com，不要把所有頁面 都使用https://， 特別是訪問量最大的首頁。盡量不要在使用了SSL的頁面上設計大塊的圖片文件和其他大文件，盡量使用簡潔的 文字頁面。