老左笔记
我们在开发网站和小程序上线的时候,一般都会需要用到SSL证书,早些年是很少用的,如今不用还会被提示不安全网站。那SSL证书的加密原理是什么,是不是真的安全?SSL(Secure Sockets Layer,安全套接层)加密原理是通过非对称加密与对称加密结合的方式,在客户端(如浏览器)和服务器之间建立安全通信通道,核心目标是保障数据传输的机密性、完整性和身份认证。
| 阶段 | 核心动作 | 关键技术与目的 |
|---|---|---|
| 1. 握手阶段 | 客户端与服务器交换支持的加密算法、随机数,并验证服务器证书合法性。 | - 协商加密算法 - 交换随机数(Client Random/Server Random) - 通过 CA 证书验证服务器身份 |
| 2. 密钥生成阶段 | 客户端用服务器公钥加密预主密钥并发送,双方通过随机数和预主密钥计算会话密钥(对称加密密钥)。 | - 非对称加密传输预主密钥(RSA/ECC) - 对称密钥生成(AES 等) - 确保密钥安全协商 |
| 3. 加密通信阶段 | 双方使用会话密钥对称加密数据,并附加 MAC(消息认证码)校验完整性。 | - 对称加密传输数据(高效安全) - MAC 防止篡改(如 HMAC-SHA256) |
| 4. 会话结束阶段 | 客户端或服务器发送关闭通知,终止会话并清除会话密钥。 | - 防止密钥长期留存导致泄露风险 |
以上是SSL工作的四个流程,我们明白SSL的具体工作方式。当然,不同的SSL类型加密安全性质是不同的。
| 证书类型 | 加密强度 | 身份验证级别 | 适用场景 | 安全性关键点 |
|---|---|---|---|---|
| DV(Domain Validation)证书 | 支持主流加密算法(如RSA 2048位/ECC 256位),加密强度高。 | 仅验证域名所有权(通过邮箱/文件验证),不验证企业身份。 | 个人网站、博客、测试环境。 | - 加密强度高,但无法验证网站所有者身份 - 存在钓鱼风险(攻击者可仿冒域名获取证书) |
| OV(Organization Validation)证书 | 支持RSA 2048位/ECC 256位加密,强度与DV相同。 | 验证域名所有权 + 企业/组织真实身份(需提供营业执照、电话验证等)。 | 企业官网、电商、金融机构等需展示可信身份的场景。 | - 加密强度高 - 验证企业身份,浏览器显示企业名称(增强用户信任) - 可防钓鱼(需审核企业资质) |
| EV(Extended Validation)证书 | 支持RSA 2048位/ECC 256位加密,强度最高(部分CA要求更严格密钥管理)。 | 最严格验证:域名所有权 + 企业/组织身份 + 法律合规性(需提交公证文件、律师审核等)。 | 银行、支付平台、政府机构等高安全需求场景。 | - 加密强度最高 - 浏览器地址栏显示绿色企业名称+锁图标(最强信任标识) - 审核流程复杂,防钓鱼效果最佳 |
| 通配符证书(Wildcard SSL) | 加密强度取决于类型(DV/OV/EV),支持泛域名(如 *.example.com)加密。 |
DV通配符仅验证主域名所有权;OV/EV通配符需额外验证企业身份。 | 多子域名场景(如 blog.example.com、shop.example.com)。 |
- 加密强度与基础证书类型一致 - 管理便捷(一张证书覆盖多个子域名) - OV/EV通配符安全性更高 |
| 多域名证书(SAN/UCC证书) | 加密强度取决于类型(DV/OV/EV),支持绑定多个不同域名(如 example.com + example.net)。 |
DV多域名仅验证域名所有权;OV/EV多域名需验证所有绑定域名的企业身份。 | 跨品牌、多业务线的企业(需同时保护多个独立域名)。 | - 加密强度与基础证书类型一致 - 灵活管理多域名 - OV/EV多域名安全性更高 |
对于个人网站来说用普通证书,甚至免费SSL证书也可以。如果我们企业业务,一定要用到高级SSL。
