跳到主要内容

SSL 基础

SSL 是如何工作的?

1. 浏览器请求 SSL 网站

当浏览器向您的服务器请求 SSL 网站时,它会联系一个不同端口(端口 443)上的特定 IP 地址,而不是标准网站使用的端口(端口 80)。服务器进行 SSL 握手过程以验证浏览器,并建立初始加密会话,确保连接从一开始就是安全的。

2. 服务器尝试匹配带有 SSL 的网站

服务器随后查找与其被联系的 IP 地址相关联的网站,并检查是否为其配置了 SSL 证书。如果没有,服务器会向浏览器返回错误,连接失败;但如果该网站关联有 SSL 证书(公钥),服务器会出示该网站的证书以及所有签署该证书的其他证书(证书颁发机构链,简称 CA 链),然后根据以下条件验证所有证书:

  • 所联系的网站至少匹配网站证书中的一个主题名称(Subject Name)。
  • 证书未过期或未被吊销。
  • 证书上的任何签名均有效。
  • 出示的证书颁发机构证书也未过期。
3. 浏览器提供安全网站

大多数浏览器内置了受信任的证书颁发机构信任库。如果证书签发者不在该信任库中,浏览器会向用户提示确认,允许用户接受该证书为有效,并可选择信任该证书的签发者。
证书验证并被接受后,浏览器会使用该证书加密响应。服务器随后通过 SSL 密钥解密响应以验证连接,安全连接即建立。

自签名 SSL 证书

SSL 证书可以是自签名的,意味着创建证书的实体同时也签署了它,或者可以生成证书签名请求(CSR,Certificate Signing Request),然后提交给证书颁发机构(CA,Certificate Authority)。自签名证书相当于某人坚称自己就是他所说的那个人。
因此,自签名证书可以用于保护与网站的连接,但无法验证该网站的身份。相比之下,由 CA 签署的 SSL 证书相当于一个几乎所有人都信任的人验证某人就是他所说的那个人,这些证书可用于保护在线交易。

不确定您需要什么? 我们已为您整合了 SSL 相关文章。

  • 概览:SSL 新手指南
  • 第1部分:什么是 SSL 或安全证书?
  • 第2部分:我需要哪种类型的 SSL 或安全证书?
  • 第3部分:安装 SSL 证书前您应了解的重要事项
  • 第4部分:如何购买 SSL 证书?
  • 第5部分:如何使用我的 SSL 证书?