在前面的文章我们知道,在通信过程中仍有无法证明公开**是货真价实真正的公开**的问题。为了解决这一问题,就要使用由数字证书认证机构(CA)颁发的公开**证书。
数字证书认证机构是客户端与服务器双方都可信赖的第三方机构。
数字证书认证机构的业务流程大致是这样的:
- 首先,服务器运营人员向 CA 提出公开**的申请,数字证书认证机构在判明提出申请者的身份之后,会对已申请的公开**做数字签名;
- 然后分配这个已签名的公开**,并将该公开**放入公钥证书后绑定在一起。
- 服务器将这份公钥证书发送给客户端,已进行公开**加密方式通信;
- 接到证书的客户端可使用数字证书认证机构的公开**,对那张证书上的数字签名进行验证。
一旦验证通过,客户端便可明确两件事:一,认证服务器的公开**的是真实有效的数字证书认证机构。二,服务器的公开**是值得信赖的。
因为客户端也需要一份 CA 的公开**,然而在通信时很难做到安全转交。所以,多数浏览器开发商发布版本时,会实现在内部植入常用认证机关的公开**。
SSL 证书验证级别
除了机构之间存在差异,SSL证书之间也存在差异,SSL证书根据验证级别,分为三类:
- 域名型 SSL 证书,简称 DVSSL;
- 企业型 SSL 证书,简称 OVSSL;
- 增强型 SSL 证书,简称 EVSSL;
| DVSSL | OVSSL | EVSSL |
|---|---|---|
| 英文名称 | Domain Validation SSL Certificate | Organization Validation SSL Certificate |
| 审核内容 | 域名管理权限 | 域名管理权限;企业名称、地址、电话等信息的真实性 |
| 颁发周期 | 几分钟-几小时 | 3-5个工作日 |
| 浏览器地址栏 | https + 小锁标志 | https + 小锁标志 |
| 一般用途 | 个人站点; iOS应用分发下载;登录等单纯https加密需求的链接 | 企业网站 |
SSL 证书域名类型
除了验证级别维度的不同,统一级别的证书,它又根据保护域名的数量需求,SSL 证书又分为:
单域名版:只保护一个域名,例如
www.abc.com或者login.abc.com之类的单个域名多域名版:一张证书可以保护多个域名,例如同时保护
www.abc.com,www.bcd.com,pay.efg.com等通配符版:一张证书保护同一个主域名下同一级的所有子域名,不限个数,形如
*.abc.com。注意,通配符版只有 DVSSL 和 OVSSL 具有, EVSSL 不具有通配符版本。
参考文章:
一篇文章让你搞懂 SSL 证书