HTTPS證書知識掃盲

1. 前言

如今搞網站域名不加個HTTPS就顯得不專業,特別在使用JWT進行認證的接口必定要加HTTPS爲你的接口增長一層安全屏障。今天就來聊聊配置HTTPS的關鍵SSL證書,也被稱爲CA證書。瀏覽器

2. 什麼是SSL證書?

SSL(Secure socket layer)證書經過在瀏覽器和WEB服務器之間創建一條SSL安全通道,對傳送的數據進行加密和隱藏,確保數據在傳輸中不被改變,保證數據的完整性,目前已經成爲互聯網安全傳輸的主流標準之一。因爲SSL技術已創建到全部主要的瀏覽器和WEB服務器程序中,咱們只須要安裝可信任的證書就能夠了。安全

3. 爲何要從CA獲取證書?

本身簽發的證書沒有正式在你們所熟知的認證權威那裏註冊過,所以不能確保它的真實性,你想若是你訪問了一個釣魚網站,而這個網站的證書倒是他們本身簽發的證書,這還有什麼意義呢?不過本身簽發的證書也能保證數據傳輸的安全性,只是主流瀏覽器是不信任你的,因此要用權威的CA證書籤發機構簽發的證書。服務器

4. 爲何證書這麼貴?

CA機構的證書在之前都是收費的,並且坐地起價,少則一兩千塊,多則好幾萬,並且仍是年費。其實簽署一個證書的成本幾乎爲零,開個程序跑就好了,可是爲何一個虛擬證書這麼貴呢?socket

據胖哥瞭解,一個CA機構每一年必須過 WebTrust 年度審計,還要向瀏覽器廠商交錢,並且還要向保險公司繳納鉅額的保費,另外比較高級的證書籤發流程很是嚴謹,須要大量的人工審覈工做。新開的CA公司要等好幾年纔會被廣泛信任,才能普遍進入根證書鏈。要想入夥就得給其它知名的CA公司掏錢,買次級證書來加速進程。網站

5. 免費證書也不是沒有

昂貴的價格讓不少中小網站望而卻步,這時一家名叫Let’s Encrypt的機構順勢而出。它是一家免費、開放、自動化的證書頒發機構(CA),旨在爲任何擁有域名的人提供免費獲取授信的證書。目前已經支持通配符證書,可是隻有90天的時效。加密

Let’s Encrypt的意義就像Gmail同樣,讓電子郵箱逐漸免費化,走入尋常百姓家。目前大部分的低級別CA證書都已經免費,你能夠經過國內幾大雲廠商申請使用。若是沒有Let’s Encrypt恐怕咱們還得被CA機構割韭菜。spa

6. CA證書的種類

CA證書可按照驗證方式和域名適配數量進行區分。代理

驗證方式

  • DV域名驗證型SSL證書,大部分免費,只須要驗證對應域名的全部權,適用於小型靜態網站、博客。幾分鐘就能完成簽發
  • OV企業驗證型SSL證書,須要驗證域名全部權以及企業身份信息,證實申請單位是一個合法存在的真實實體,通常在1~5個工做日頒發。
  • EV擴展驗證型SSL證書,除了須要驗證域名全部權以及企業身份信息以外,還須要提交一下擴展型驗證,好比:鄧白氏等,一般CA機構還會進行電話回訪,通常在2~7個工做日頒發證書。價格通常在千元至萬元左右,適用於在線交易網站、企業型網站。

域名適配

  • 單域名證書,好比證書給www.felord.cn簽發,那就只能給該域名使用,不能給其下級域名使用,好比不能給 assets.felord.cn使用。
  • 通配符證書,只能保護一個域名以及該域名的全部下一級域名,不限制域名數量。
  • 多域名證書,這個最多,能夠同時保護多個域名,不限制域名類型,有興趣能夠去看看淘寶網的證書。

7. 總結

今天對SSL證書進行了介紹,相信你已經知道如何去申請適合你本身的證書了。那就趕忙爲本身網站添加一個證書吧。另外胖哥不推薦將證書配置到Tomcat之類的容器中,這樣不方便開發不說也不利於隱藏真實的服務器,建議使用Nginx代理並將證書配置到Nginx。好了今天的科普就到這裏,多多關注:碼農小胖哥 獲取更多幹貨知識。code

關注公衆號:Felordcn 獲取更多資訊blog

我的博客:https://felord.cn

相關文章
相關標籤/搜索