SSL證書係實現網站由HTTP協議升級到HTTPS協議嘅關鍵

SSL證書係實現網站由HTTP協議升級到HTTPS協議嘅關鍵技術組件。佢係一種數碼證書，喺瀏覽器同伺服器之間建立加密連結，確保傳輸數據嘅安全性同機密性。喺網絡安全日漸受到重視嘅今日，SSL證書已經成為網站建設，尤其係涉及用戶登入或網上交易嘅網站嘅必備要素。佢唔單止能夠保護敏感資訊，仲可以提升用戶信任度，而且對搜尋引擎優化（SEO）有正面影響。所以，了解SSL證書嘅工作原理、類型同埋點樣選擇同部署，對於網站擁有者同開發者嚟講至關重要。

SSL證書嘅工作原理

SSL/TLS協議嘅核心係使用非對稱加密同對稱加密相結合嘅方式嚟建立安全嘅通訊通道。呢個過程主要透過「SSL握手」嚟完成。

非對稱加密同對稱加密嘅結合

SSL/TLS協議巧妙地結合咗兩種加密方式嘅優點。非對稱加密，通常使用RSA或者ECC演算法，喺握手初期用於身份驗證同傳遞會話密鑰。佢嘅特點係加密同解密使用唔同嘅密鑰，即係公鑰同私鑰。公鑰可以公開，用於加密；私鑰就由伺服器嚴格保密，用於解密。

推薦閱讀 SSL證書終極指南：類型、工作原理同部署最佳實踐。

對稱加密，例如AES演算法，就喺握手完成之後用於加密實際傳輸嘅應用層數據。佢嘅特點係加密同解密使用同一個密鑰，運算速度快，適合加密大量數據。SSL握手嘅關鍵目的之一，就係等客戶端同伺服器安全地協商出一個只有雙方知道嘅對稱會話密鑰。

Bluehost SSL 證書

BlueHost SSL 證書提供1-2年嘅延長期限選項，支援RSA或ECC算法，密鑰長度可達4096位，並提供高達175萬美元嘅保障金額。

每月 $7.49 美金起

前往Bluehost SSL 證書 →

hosting.com SSL 證書

經濟實惠嘅 DV、OV、EV SSL 證書，最高256位加密，5 ~ 100 萬美金保障金額，24小時全天候支援

每月 $2.5 美金起

前往hosting.com SSL證書 →

完整嘅SSL/TLS握手流程

當用戶喺瀏覽器地址欄輸入一個HTTPS網址嗰陣，SSL/TLS握手流程就開始咗。首先，客戶端向伺服器發送「Client Hello」訊息，包含佢支援嘅SSL/TLS版本、加密套件列表同一個隨機數。

伺服器回應「Server Hello」訊息，揀選雙方都支援嘅協議版本同加密套件，並發送自己嘅隨機數同一個數位證書。呢個證書包含咗伺服器嘅公鑰同埋由受信任嘅憑證頒發機構（CA）簽發嘅數位簽名。

客戶端收到證書之後，會驗證佢嘅有效性。佢會用本機或者操作系統內置嘅CA根證書嚟驗證伺服器證書嘅簽名。驗證通過之後，客戶端就信任呢個伺服器嘅身份。

跟住，客戶端會產生一個「預主密鑰」，並用伺服器證書入面嘅公鑰加密，再發送俾伺服器。伺服器用自己嘅私鑰解密，得到預主密鑰。到呢一步，客戶端同伺服器都擁有咗兩個隨機數（客戶端隨機數、伺服器隨機數）同預主密鑰。佢哋各自透過相同嘅演算法，計算出最終嘅對稱會話密鑰。

推薦閱讀 SSL證書係咩：由入門到精通，確保網站數據傳輸安全。

握手最後，雙方互相傳送用新生成嘅會話密鑰加密嘅「Finished」訊息，驗證密鑰嘅正確性。之後，所有應用層數據都會用呢個對稱會話密鑰進行加密傳輸。

SSL證書嘅主要類型同選擇

根據唔同嘅驗證級別同應用場景，SSL證書主要分為三類，揀啱嘅證書類型係確保安全同成本平衡嘅重要步驟。

DV、OV同EV證書嘅核心區別

域名驗證（DV）證書係最基礎嘅類型。證書頒發機構（CA）只驗證申請者對域名嘅控制權，通常透過驗證域名管理員電郵或者設定特定嘅DNS記錄嚟完成。呢種證書驗證速度快、成本低，主要用於個人網站、網誌或者測試環境，能夠實現基本嘅加密功能。瀏覽器地址欄會顯示鎖形圖標同HTTPS前綴。

UltaHost SSL證書

DV、EV、OV證書，最高支援$1,750,000美元保障金額，支援無限子域名，支援iOS同Android應用，優惠價每月20%$15.95美元起，30日退款保證

造訪 UltaHost

機構驗證（OV）證書需要進行更嚴格嘅驗證。除咗網域所有權，CA仲會審查申請機構嘅真實性同合法性，例如檢查公司喺工商註冊系統入面嘅資料。OV證書會包含申請機構嘅名稱，用戶喺瀏覽器度撳鎖形圖標就可以睇到。佢適用於企業官網、一般商業網站，能夠提供更高嘅可信度。

延伸驗證（EV）證書嘅審核最為嚴格。CA需要進行全面嘅機構背景調查，跟從全球統一嘅標準。安裝EV證書嘅網站，喺某啲瀏覽器入面，網址列會變為綠色，並直接顯示公司名。呢樣為金融、電子商務等高安全要求嘅網站提供咗最高級別嘅信任標識。

單域名、多域名同通配符證書

除咗驗證級別，SSL證書仲根據覆蓋嘅網域數量進行分類。單網域證書只保護一個完整限定網域（FQDN），例如 www.example.com 或 example.com。

推薦閱讀 SSL證書係咩？由原理、類型到申請安裝完整指南。

多網域證書，亦稱為SAN證書，允許同一張證書入面添加多個唔同嘅網域，無論係主網域定係次級網域，方便管理多個相關聯嘅站點。

通配符證書就特別適合用喺有好多子域名嘅情況。一張通配符證書可以保護一個域名同埋佢所有同級嘅子域名，例如 *.example.com 可以保護 a.example.com、b.example.com、shop.example.com 等等。喺大型網上平台或者SaaS服務入面，呢樣嘢好有價值。

點樣攞同安裝SSL證書

為網站啟用HTTPS嘅第一步係攞到同正確安裝SSL證書。呢個過程由生成密鑰對開始，直到部署到伺服器上面。

生成CSR證書簽名請求同驗證

證書申請過程通常喺伺服器上發起。首先，需要喺伺服器上生成一個私鑰檔案同一個證書簽名請求（CSR）檔案。私鑰必須被極之安全咁保管，佢係伺服器身份嘅最終證明，一旦洩漏，證書嘅安全基礎就蕩然無存。

CSR檔案包含咗伺服器嘅公鑰同申請者嘅資料，好似域名、組織名稱、所在地等等。申請者將CSR檔案提交俾所揀嘅證書頒發機構。CA會根據所申請嘅證書類型（DV/OV/EV）對提交嘅資料進行驗證。例如，對於DV證書，CA會發送驗證電郵去域名嘅註冊電郵地址，或者要求設定一個特定嘅DNS TXT記錄。驗證通過之後，CA會頒發簽名後嘅SSL證書檔案。

伺服器端部署與配置

收到CA頒發嘅證書檔案之後，需要將佢同之前生成嘅私鑰檔案一齊部署到Web伺服器軟件入面，好似Apache、Nginx或者IIS。部署完成之後，務必要檢查HTTPS服務係咪正常運作。使用網上嘅SSL檢測工具可以幫手驗證證書係咪安裝正確、係咪用咗安全嘅加密套件，同埋係咪存在任何已知嘅漏洞。

部署唔單止係安裝證書，仲包括關鍵嘅伺服器配置。例如，將所有HTTP請求301重新定向到HTTPS，強制使用安全連接；啟用HSTS（HTTP嚴格傳輸安全）標頭，指示瀏覽器喺未來一段時間內只通過HTTPS訪問該網站；停用已知唔安全嘅舊版SSL協議，例如SSLv2同SSLv3，強制使用TLS 1.2或更高版本。

SSL證書嘅維護同管理

部署SSL證書並非一勞永逸。有效嘅生命週期管理係確保持續安全嘅關鍵環節，呢個涉及到期更新、吊銷處理以及性能考量。

證書生命週期與續訂

SSL證書並非永久有效。目前行業標準係證書有效期最長為398日（約13個月）。CA/B論壇規定呢個期限，旨在促進證書嘅定期輪換同安全審計，降低私鑰洩漏帶嚟嘅長期風險。到期前證書會失效，導致網站出現安全警告，嚴重影響用戶體驗同網站可用性。

因此，监控证书的到期日期至关重要。建议设置日历提醒，并在到期前30天开始准备续订。续订流程与初次申请类似，都需要生成新的CSR并提交给CA进行验证。理想的做法是，建立自动化的证书续订机制，尤其是在使用Let's Encrypt等提供的免费、自动化的证书服务时，可以有效避免因证书过期而导致的服务中断。

證書吊銷同私鑰安全

喺證書有效期內，如果伺服器嘅私鑰唔小心唔見咗或者洩露，又或者持有證書嘅組織資料有變動（例如域名唔再使用），就必須立即向CA申請吊銷呢張證書。吊銷後嘅證書會被加到證書吊銷清單（CRL）入面，或者透過線上證書狀態協定（OCSP）標記為無效。

維護私鑰安全係成個SSL/TLS安全嘅基石。私鑰應該以加密形式儲存喺伺服器上，並且嚴格控制存取權限，只容許必要嘅服務進程讀取。絕對唔應該將私鑰透過唔安全嘅渠道傳輸，或者包含喺代碼倉庫、備份檔案入面而冇加密。

HTTPS效能優化考量

啟用HTTPS引入嘅加密同解密操作確實會增加伺服器嘅計算開銷。但係隨住現代硬件嘅發展，呢種性能開銷已經變得非常細。通過啟用TLS會話重用、優化加密套件選擇（例如優先選擇支援AES-GCM或ChaCha20-Poly1305以及ECDHE金鑰交換嘅套件），可以顯著減少握手延遲同伺服器負載。

此外，使用TLS 1.3協議能夠進一步縮短握手時間，因為佢簡化咗握手流程。將性能作為藉口而拒絕啟用HTTPS喺2026年已經唔再成立。

摘要

總而言之，SSL證書係構建安全、可信互聯網嘅基石。佢通過複雜嘅加密握手機制，喺用戶瀏覽器同伺服器之間建立起一道堅固嘅防線，守護住數據傳輸嘅機密性同完整性。從基礎嘅DV證書到驗證嚴格嘅EV證書，從保護單一域名嘅單域名證書到覆蓋廣闊嘅通配符證書，多樣化嘅產品線滿足咗唔同場景嘅安全同業務需求。獲取、部署同管理好SSL證書，涉及從生成私鑰、提交驗證到伺服器配置同到期續訂嘅全流程。喺現今嘅互聯網環境下，為網站部署有效嘅SSL證書，並配置安全嘅HTTPS連接，已經從一個可選項轉變為保障用戶信任、提升專業形象、乃至優化搜尋排名嘅必要措施。

常見問題

SSL證書使唔使收費？

SSL证书有免费和付费两种类型。像Let's Encrypt提供的免费DV证书，完全能够满足个人网站或博客的基本加密需求。付费证书则提供了更高级别的组织验证（OV）、扩展验证（EV），以及更长的有效期、更完善的赔偿保障和技术支持，适合商业网站和企业级应用。

安裝咗SSL證書之後，網站係咪就一定百分百安全？

唔係咁樣。SSL/TLS主要解決嘅係數據傳輸過程中嘅加密問題，防止數據喺傳輸過程中被竊聽或者篡改。但係佢唔能夠防止網站其他嘅安全漏洞，例如伺服器被入侵、網站程式存在SQL注入或者跨站腳本（XSS）漏洞、用戶密碼設定得過於簡單等等。SSL證書係整體網站安全策略中至關重要嘅一環，但唔係全部。

我嘅網站內容唔涉及敏感資訊，仲需要SSL證書嗎？

需要。首先，現代瀏覽器好似Chrome、Firefox等等，會對冇HTTPS嘅網站標記為「不安全」，呢樣會直接影響用戶嘅第一印象同信任度。其次，搜尋引擎（例如Google）已經將HTTPS作為搜尋排名嘅一個積極信號。另外，就算係非敏感資訊，加密連接亦都能夠防止流量被劫持、插入廣告或者惡意代碼，保護咗網站嘅完整性同用戶體驗。

點樣可以睇到網站嘅SSL證書資料？

當你瀏覽一個HTTPS網站嗰陣，大多數瀏覽器都會喺地址欄左邊顯示一個鎖形圖標。撳吓呢個鎖形圖標，通常會見到「連線係安全嘅」提示。再撳「證書有效」或者類似選項，就可以打開證書詳細資料視窗，喺度可以睇到證書頒發畀邊個（域名）、頒發者（CA）、有效期，同埋用咗乜嘢加密演算法等資料。

一張SSL證書可唔可以喺多部伺服器上面用？

技術上係可以嘅。只要私鑰相同，同一個證書就可以部署喺多部提供相同服務嘅伺服器上面，例如負載平衡器後面嘅Web伺服器群組。但係喺管理同安全方面要特別注意：私鑰喺多部伺服器之間傳輸同儲存都必須確保絕對安全；如果其中一部伺服器嘅私鑰洩露，所有用呢張證書嘅服務都會受到影響，需要即刻吊銷同重新頒發。