域名ssl证书

从第一部分HTTPS原理中， 我们可以了解到HTTPS核心的一个部分是数据传输之前的握手，握手过程中确定了数据加密的密码。在握手过程中，网站会向浏览器发送SSL证书，SSL证书和我们日常用的类似，是一个支持HTTPS网站的明，SSL证书里面包含了网站的域名，证书有效期，证书的颁发机构以及用于加密传输密码的公钥等信息，由于公钥加密的密码只能被在申请证书时生成的私钥解密，因此浏览器在生成密码之前需要先核对当前访问的域名与证书上绑定的域名是否一致，同时还要对证书的颁发机构进行验证，如果验证失败浏览器会给出证书错误的提示。在这一部分我将对SSL证书的验证过程以及个人用户在访问HTTPS网站时，对 SSL证书的使用需要注意哪些安全方面的问题进行描述。

小提示：文章比较长，如果你对 SSL证书到底是怎么一回事，以及SSL欺骗的原理没有兴趣可以跳过前面的部分，但是希望你能看一下“三、证书的验证过程”中的那些图片，知道浏览器会在 什么情况下提示SSL证书错误；再看一下文章结尾处的3条总结，基本上就可以知道如何安全的使用HTTPS了。

一、证书的类型

实际上，我们使用的证书分很多种类型，SSL证书只是其中的一种。域名ssl证书证书的格式是由X.509标准定义。SSL证书负责传输公钥，是一种PKI（Public Key Infrastructure，公钥基础结构）证书。

我们常见的证书根据用途不同大致有以下几种：

1、SSL证书，用于加密HTTP协议，也就是HTTPS。

2、代码签名证书，用于签名二进制文件，比如Windows内核驱动，Firefox插件，Java代码签名等等。

3、客户端证书，用于加密邮件。

4、双因素证书，网银版使用的USB Key里面用的就是这种类型的证书。

这些证书都是由受认证的证书颁发机构——我们称之为CA（Certificate Authority）机构来颁发，针对企业与个人的不同，可申请的证书的类型也不同，价格也不同。CA机构颁发的证书都是受信任的证书，对于SSL证书来说，如果访问的网站与证书绑定的网站一致就可以通过浏览器的验证而不会提示错误。

二、SSL证书申请与规则

SSL证书可以向CA机构通过付费的方式申请，也可以自己制作。

CA机构颁发的证书价格非常昂贵，而且有效期一般只有一年到三年不等（年数不同，价格也不同），过期之后还要再次交钱申请，因此一般只有企业才会申请证书。但是随着个人网站的增多，目前也有针对个人的SSL证书服务，价格相对便宜一些，国内的话400多块钱就能申请到一个，国外更是有免费的SSL证书可以申请。

在申请SSL证书时需要向CA机构提供网站域名，营业执照，以及申请人的身份信息等。网站的域名非常重要，申请人必须证明自己对域名有所有权，如果支持Hotmail.com，Gmail.com的SSL证书都可以随便申请，黑客们就不用做书欺骗了。此外，一个证书一般只绑定一个域名，如果CA机构心情好的话，会免费再绑一个，比如你要申请域名时绑定的域名是guokr.com，那么只有在浏览器地址是https://guokr.com的时候，这个证书才是受信任的，如果地址是https://.guokr.com或者https://login.guokr.com，那么这个证书由于访问的域名与证书绑定的域名不同，仍然会被浏览器显示为不受信任的。CA机构也提供申请通配符域名（例如，*.guokr.com），通配符域名相当于绑定了主域名下的所有域名，因此使用起来非常方便，但是价格也超级昂贵，一个通配符域名一年大概得5000块钱，只有企业才可以申请。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-25384-1.html