数字证书详解
作者:chszs,未经博主允许不得转载。
什么是数字证书?
数字证书用于显示一个网站或域名的所有权并允许终端用户与服务器之间建立安全连接以便交付网站内容。数字证书是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构——CA机构,又称为证书授权(CA,Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。
数字证书是一种权威性的电子文档,可以由权威公正的第三方机构,即CA(例如中国各地方的CA公司)中心签发的证书,也可以由企业级CA系统进行签发。
数字证书可以是自签名的或由证书机构提供。自签名证书不会增加额外维护网站的成本,但它往往需要终端用户在每次访问时要明确允许这个安全异常,也即明确要信任网站。在一般情况下,自签名证书不应该用于商业网站。对于商业网站的最佳做法是选出一个数字证书,通过可信认证中心的审核。认证机构可以验证访问某些域资源,比如管理员常用的电子邮件地址。
认证机构提供了两种主要的数字证书:
- SAN证书(SAN Certificate)
- EV证书(Extended Validation Certificate)
SAN证书,即Subject Alternative Name Certificate,允许一个SSL证书绑定多个域名和子域名。举个典型的例子:mail.site.com、www.site.com、mobile.site.com都可以绑定同一个SAN证书。
EV证书,也可称为扩展验证证书,这种证书只能绑定一个域名。它不允许在域名上使用通配符或在域内共享证书。EV证书更昂贵,它允许在主流的浏览器上出现绿色标识,这表示当前的域名经过了严格的验证过程。
- Chrome浏览器访问带EV证书网站的效果:
- IE浏览器访问带EV证书网站的效果:
- Safari浏览器访问带EV证书网站的效果:
- Firefox浏览器访问带EV证书网站的效果:
EV SSL证书的用途:
- 用于所有需要身份担保、可见信任、强加密的应用中,以便预防网络钓鱼攻击。
- 对于全球品牌、银行或金融机构也应该使用EV证书。
- EV证书还可以让不太知名的品牌提升可信级别,从而提升知名度。
对于多域名证书,有两种叫法:
- 一种就是上面所述的SAN证书
- 另一种是Unified Communications Certificate(来自微软的叫法)
对于大多数企业而言,SAN证书提供了最佳的价值和最大的灵活性,故使用SAN证书就足够了。对于某些特殊的业务,可以考虑选用EV证书。