SSL证书服务FAQ

  • A+
所属分类:证书服务
高性能企业级服务器首台5折

什么是SSL证书

SSL证书就是遵守SSL安全套接层协议的服务器数字证书,而SSL安全协议最初是由美国网景Netscape Communication公司设计开发,全称为安全套接层协议 (Secure Sockets Layer) 。

SSL证书指定了在应用程序协议(如HTTP、Telnet、FTP)和TCP/IP之间提供数据安全性分层的机制。它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。由于此协议很好地解决了互联网明文传输的不安全问题,很快得到了业界的支持,并已经成为国际标准。

SSL证书由浏览器中受信任的根证书颁发机构在验证服务器身份后颁发,具有网站身份 验证和加密传输双重功能。

HTTPS与HTTP有什么不同?

HTTP是过去很长一段时间我们经常用到的一种传输协议。HTTP协议传输的数据都是未加密的,这就意味着用户填写的密码、账号、交易记录等机密信息都是明文,随时可能被泄露、窃取、篡改,从而被黑客加以利用,因此使用HTTP协议传输隐私信息非常不安全。

HTTPS是一种基于SSL协议的网站加密传输协议,网站安装SSL证书后,使用HTTPS加密协议访问,可激活客户端浏览器到网站服务器之间的SSL加密通道(SSL协议),实现高强度双向加密传输,防止传输数据被泄露或篡改。简单讲,HTTPS=HTTP+SSL,即HTTPS是HTTP的安全版。

SSL证书有什么优势

对比传统的加密方式,SSL证书有以下几点优势:

  • 简单快捷:只需要申请一张证书,部署在服务器上,就可以在有效期内不用做其他操作。
  • 显示直观:部署SSL证书后,通过https访问网站,能在地址栏或地址栏右侧直接看到加密锁标志,直观地表明网站是加密的。使用EV证书,还能直接在地址栏看到公司名称。
  • 身份认证:这是别的加密方式都不具备的,能在证书信息里面看到网站所有者公司信息,进而确认网站的有效性和真实性,不会被钓鱼网站欺骗。

各种类型SSL数字证书的区别,如何选择

用于网站HTTPS化的SSL数字证书,当前主要分为DV SSL、OV SSL、EV SSL三种类型的证书。

  • DV SSL数字证书部署在服务器上后,用户浏览器访问网站时,展示如下:
  • OV SSL数字证书部署在服务器上后,用户浏览器访问网站时,展示如下:
  • EV SSL数字证书部署在服务器上后,用户浏览器访问网站时,展示如下:

区别简述如下,

 
数字证书 DV SSL OV SSL EV SSL
用户建议 个人 组织、企业 大型企业、金融机构
公信等级 一般
认证强度 网站真实性 组织及企业真实性 严格认证
安全性 一般
可信度 常规 高(地址栏绿色)

云上签发的Symantec证书,在原有OV、EV基础上,推出了增强型OV、增强型EV证书。增强型与专业版OV及高级版EV的区别主要在于,增强型OV、增强EV支持ECC椭圆加密算法。有研究表示160位的椭圆密钥与1024位的RSA密钥安全性相同。

如何填写证书中绑定的域名

您购买数字证书之后,需要在证书服务管理控制台中补全证书审核资料。而补全信息的第一步就是填写域名信息,正确填写域名信息后才能保证您的数字证书顺利颁发,并正确开启HTTPS服务。

证书服务管理控制台会根据您购买的证书提示您需要输入的域名类型。

什么是通配符域名?

通配符域名是指以 *. 号开头的域名。例如:*.a.com 是正确的通配符域名,但 *.*.a.com 则是不正确的。

说明
此处一个通配符域名算一个域名。关于通配符的匹配关系,请参考“所有子域名”类型的通配符证书都支持哪些域名

什么是普通域名?

普通域名是相对通配符域名来说的,是一个具体的域名或者说不是通配符域名。例如:www.a.com 或 a.com 都算一个普通域名。普通域名能绑定的数量,取决于您证书订单中选择的域名个数。

说明
如buy.example.com或next.buy.example.com各个明细子域名都算一个域名。

域名信息与CSR的关系

  • 如果您选择自己创建CSR文件,那么CSR文件中的域名信息(CN属性)必须是您证书绑定域名中的一个。当域名信息中有通配符域名和普通域名混合时,请使用普通域名作为CSR文件中的CN属性值。关于CSR文件的更多说明,请参考如何制作CSR文件
  • 如果您选择由系统创建CSR文件,系统会自动选择您填写的第一个域名作为CSR文件中的CN属性值。因此,当域名信息中有通配符域名和普通域名混合时,请将普通域名放在第一个位置。

收费证书申请补全信息注意事项

在申请收费证书时,您需要补全信息,请注意以下几个关键信息的准确性,信息准确可保证证书在第一时间签发。

公司名称:公司名称要与营业执照上的公司名称保持完全一致。

公司电话:非常重要,公司电话最好写成第三方公共信息平台(114)上可查到的电话或者工商局登记的电话,鉴证人员通过该电话直接或间接(请接电话人员提供证书联系人电话号码)联系到证书联系人,与证书联系人确认证书申请事宜和信息,请保持电话畅通。

申请确认Email

  • 非常重要,请确保该邮箱地址为申请证书的联系人邮箱地址。
  • 当涉及到签证域名相关信息确认时,需要保证域名管理员邮箱可对签证信息进行回复。
  • 如果在申请证书时,联系人、电话为域名管理员,申请确认Email为域名管理员邮箱(后续相关证书签信息的确认、变改都会发到该域名管理员邮箱),这样会使得签证流程最顺利。
  • 当申请的证书为EV证书时,邮箱必需为企业邮箱或者收费邮箱,不能为免费邮箱。
  • 域名需关闭域名保护功能,这样签证人员才可以查到你的域名对应的域名管理员邮箱。隐私保护的关闭方式,请参考设置域名隐私保护

哪些网站必须启用HTTPS加密

在越来越重视信息安全的今天,HTTPS协议站点无疑已经成为主流。就目前形势而言,以下网站必须启用HTTPS协议加密:

  • 电商平台及其相关支付系统网站
  • 银行系统、金融机构等高私密性网站
  • 政府、高校、科研机构及其相关网站
  • 以搜索引擎为主要流量来源的网站
  • 以邮箱为主的企业交流平台

长远来看,HTTPS协议网站已是必然趋势。启用HTTPS协议加密是当今网站建设的关键要点。不仅局限于上述网站类型,启用HTTPS协议加密既是网站安全的必然需要,也是公司发展的提前布局。

订单提交审核后需要做什么?

当数字证书订单提交审核后,您可以在云盾证书服务管理控制台中我的订单页面,单击该订单的进度查看您接下来需要做什么。

OV、EV类型证书

如果您购买的是OV或EV类型证书,您只需要耐心等待,CA中心一般会在三到七个工作日之内完成您的证书订单审核。如果审核期间有任何问题,CA中心的客服人员会通过电话联系您并指导您进行相关操作,请务必确保您的联系电话在审核期间保持畅通。

DV型或免费型证书

您需要按照订单进度页面的提示完成域名授权验证配置。当域名授权验证完成后,您的数字证书将会在短时间内颁发。如果您的域名中包含某些敏感词(例如bank、pay、live等),可能会触发人工审核机制,审核时间会比较长,请您耐心等待。

关于域名授权配置的更多内容请参考如何配置域名授权验证

服务器上装SSL证书会不会影响用户浏览网页的速度

服务器上装SSL证书会增加服务器CPU的处理负担,因为要为每一个SSL连接实现加密和解密,但一般不会影响太大。同时建议您注意以下几点以减轻服务器的负担:

  • 仅为需要加密的页面使用SSL,如https://www.domain.com/login.asp,不要把所有页面 都使用https://, 特别是访问量最大的首页。
  • 尽量不要在使用了SSL的页面上设计大块的图片文件和其他大文件,尽量使用简洁的 文字页面。

浏览器是如何检查SSL证书是否工作正常的

SSL数字证书必须由浏览器中“受信任的根证书颁发机构”在验证服务器身份后颁发,具有网站身份验证和加密传输双重功能。

配置完成SSL数字证书后,如果您能使用https:// 方式访问您的网站,则表示网站已经部署了SSL证书。

操作步骤

  1. 在浏览器地址栏中,输入https:// + 您的数字证书绑定的域名(如 https://www.aliyun.com )。
  2. 按回车键(Enter)通过HTTPS方式访问您的网站。
  3. 网站页面能正常访问,且浏览器地址栏中显示安全锁标志,说明您的SSL数字证书已部署成功。

SSL证书过期了怎么办

SSL数字证书过期之后,将无法继续使用,您需要在您的证书到期前办理续费。续费完成后,证书服务系统将复制当前证书订单的信息到续费订单中,同时自动将续费证书订单提交审核。

审核通过后,您将获得一张新的数字证书,您需要在您的服务器上安装新的数字证书来替换即将过期的证书。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: