SSL/TLS加密傳輸與數字證書解讀

什麼是ssl？

secure socket layer(ssl)協議最初由netscape企業發展，現已成爲網絡用來鑑別網站和網頁瀏覽者身份，以及在瀏覽器使用者及網頁服務器之間進行加密通信的全球化標準。因爲ssl技術已創建到全部主要的瀏覽器和web服務器程序中，所以，僅需安裝數字證書，或服務器證書就能夠激活服務器功能了。

 

什麼是服務器證書？

服務器證書是安裝在你的web服務器上，你可將服務器證書視爲一種可讓訪問者利用網頁瀏覽器來驗證網站真實身份的數字證實，且能夠經過服務器證書進行具備ssl加密的通信過程。

 

服務器證書如何操做？

用戶鏈接到你的web站點，該web站點受服務器證書所保護。（可由查看 url的開頭是否爲"https:"來進行辯識，或瀏覽器會提供你相關的信息）。

你的服務器進行響應，並自動傳送你網站的數字證書給用戶，用於鑑別你的網站。

用戶的網頁瀏覽器程序產生一把惟一的"會話鑰匙碼"，用以跟網站之間全部的通信過程進行加密。

使用者的瀏覽器以網站的公鑰對交談鑰匙碼進行加密，以便只有讓你的網站得以閱讀此交談鑰匙碼。

如今，具備安全性的通信過程已經創建。這個過程僅需幾秒中時間，且使用者不需進行任何動做。依不一樣的瀏覽器程序而定，使用者會看到一個鑰匙的圖標變得完整，或一個門栓的圖標變成上鎖的樣子，用於表示目前的工做階段具備安全性。

 

什麼是ssl證書?

ssl是一種協議，爲了可以使用ssl協議，組織或企業須要一張ssl證書。ssl證書是一種小型的數據文件，內含有關您企業組織詳細信息的密鑰一般包含：

一、您的域名或服務器名
二、您公司的名稱及地址
三、在某些狀況下，您的詳細聯繫方式

爲了激活瀏覽器的ssl傳輸功能，企業組織須要申請並在其服務器上安裝ssl證書。根據申請的證書種類，企業組織須要通過不一樣級別的審覈。一旦證書安裝完畢，就可以經過https://www.domain來訪問網站，經過這樣的地址訪問，會告訴服務器與瀏覽器間創建安全的鏈接。一旦當安全鏈接創建完畢，服務器與瀏覽器之間的全部數據傳輸都是安全可靠的。

ssl 證書必須由可信任ca的根證書頒發。爲了使證書可信任，用戶的終端機器上必須裝有該ca的根證書。若是該證書不可信，瀏覽器將會向終端用戶顯示證書不可信的錯誤信息。在商務狀況下，這樣的錯誤信息會當即形成用戶對網站缺少信任，所以使用不可信任證書的站點，正冒着失去大多數用戶信賴及商業機會的風險。

globalsign公司，是可信任的ca機構。這是由於各大瀏覽器和操做系統供應商，如microsoft、mozilla、opera、blackberry、java 等，均相信globalsign是合法的ca，是可信賴的ssl證書頒發機構。ca將它的根證書預埋至越多的應用程序、設備以及瀏覽器，其頒發的ssl證書就能越好的被識別。

根預埋策略--確保您的每一位客戶得到最直觀的安全保護

globalsign進行根證書預埋計劃已經超過10年之久。此計劃確保來自於美國、英國、歐洲大陸和亞洲的內部工程師，可以和應用程序、設備及瀏覽器供應商保持持續的溝通，以確保globalsign的根證書可以安裝在每個可能使用ssl傳輸的地方。

 

總結：

好比，服務器沒有安裝來自某個公司的數字證書，那麼，他的中間件中的SSL/TLS模塊就無法激活，不能使用（其實證書公司與SSL開發組織及微軟確定有莫大的關係），若是客戶端（瀏覽器）沒有安裝與某網站服務器要求的SSL數字證書，也無法訪問該網站，前提是該瀏覽器激活了SSL/TLS模塊（一般，這種激活是免費的，由於瀏覽器一般都是免費的）。

好比，若是你服務器SSL未激活，那麼，你的域名只能是以HTTP而不是以HTTPS開頭的域名，若是，你的客戶端（瀏覽器）沒有開啓SSL/TLS支持，或沒有安裝相關網站的數字證書，那麼就沒法訪問HTTPS的相關網站。

好比：禁用客戶端（IE瀏覽器）SSL/TLS協議

你們應該明白了吧！