HTTPS證書知識掃盲

1. 前言

如今搞網站域名不加個HTTPS就顯得不專業，特別在使用JWT進行認證的接口必定要加HTTPS爲你的接口增長一層安全屏障。今天就來聊聊配置HTTPS的關鍵SSL證書，也被稱爲CA證書。

2. 什麼是SSL證書？

SSL(Secure socket layer)證書經過在瀏覽器和WEB服務器之間創建一條SSL安全通道，對傳送的數據進行加密和隱藏，確保數據在傳輸中不被改變，保證數據的完整性，目前已經成爲互聯網安全傳輸的主流標準之一。因爲SSL技術已創建到全部主要的瀏覽器和WEB服務器程序中，咱們只須要安裝可信任的證書就能夠了。

3. 爲何要從CA獲取證書？

本身簽發的證書沒有正式在你們所熟知的認證權威那裏註冊過，所以不能確保它的真實性，你想若是你訪問了一個釣魚網站，而這個網站的證書倒是他們本身簽發的證書，這還有什麼意義呢？不過本身簽發的證書也能保證數據傳輸的安全性，只是主流瀏覽器是不信任你的，因此要用權威的CA證書籤發機構簽發的證書。

4. 爲何證書這麼貴？

CA機構的證書在之前都是收費的，並且坐地起價，少則一兩千塊，多則好幾萬,並且仍是年費。其實簽署一個證書的成本幾乎爲零，開個程序跑就好了，可是爲何一個虛擬證書這麼貴呢？

據胖哥瞭解，一個CA機構每一年必須過 WebTrust 年度審計，還要向瀏覽器廠商交錢，並且還要向保險公司繳納鉅額的保費，另外比較高級的證書籤發流程很是嚴謹，須要大量的人工審覈工做。新開的CA公司要等好幾年纔會被廣泛信任，才能普遍進入根證書鏈。要想入夥就得給其它知名的CA公司掏錢，買次級證書來加速進程。

5. 免費證書也不是沒有

昂貴的價格讓不少中小網站望而卻步，這時一家名叫Let’s Encrypt的機構順勢而出。它是一家免費、開放、自動化的證書頒發機構（CA），旨在爲任何擁有域名的人提供免費獲取授信的證書。目前已經支持通配符證書，可是隻有90天的時效。

Let’s Encrypt的意義就像Gmail同樣，讓電子郵箱逐漸免費化，走入尋常百姓家。目前大部分的低級別CA證書都已經免費，你能夠經過國內幾大雲廠商申請使用。若是沒有Let’s Encrypt恐怕咱們還得被CA機構割韭菜。

6. CA證書的種類

CA證書可按照驗證方式和域名適配數量進行區分。

驗證方式

• DV域名驗證型SSL證書，大部分免費，只須要驗證對應域名的全部權，適用於小型靜態網站、博客。幾分鐘就能完成簽發
• OV企業驗證型SSL證書，須要驗證域名全部權以及企業身份信息，證實申請單位是一個合法存在的真實實體，通常在1~5個工做日頒發。
• EV擴展驗證型SSL證書，除了須要驗證域名全部權以及企業身份信息以外，還須要提交一下擴展型驗證，好比：鄧白氏等，一般CA機構還會進行電話回訪，通常在2~7個工做日頒發證書。價格通常在千元至萬元左右，適用於在線交易網站、企業型網站。

域名適配

• 單域名證書，好比證書給www.felord.cn簽發，那就只能給該域名使用，不能給其下級域名使用，好比不能給 assets.felord.cn使用。
• 通配符證書，只能保護一個域名以及該域名的全部下一級域名，不限制域名數量。
• 多域名證書，這個最多，能夠同時保護多個域名，不限制域名類型，有興趣能夠去看看淘寶網的證書。

7. 總結

今天對SSL證書進行了介紹，相信你已經知道如何去申請適合你本身的證書了。那就趕忙爲本身網站添加一個證書吧。另外胖哥不推薦將證書配置到Tomcat之類的容器中，這樣不方便開發不說也不利於隱藏真實的服務器，建議使用Nginx代理並將證書配置到Nginx。好了今天的科普就到這裏，多多關注：碼農小胖哥 獲取更多幹貨知識。

關注公衆號：Felordcn 獲取更多資訊

我的博客：https://felord.cn