SSL證書係咩？一文讀懂HTTPS加密原理、類型同申請指南

当我们在浏览器地址栏中看到那个小小的锁形图标，或者网址以“https”开头时，就意味着我们正在通过SSL/TLS协议建立的加密连接与网站进行通信。这一切安全通信的基础，就是SSL证书。它不仅仅是一个数字文件，更是网络世界中信任和安全的基石，确保了数据在传输过程中不会被窃听、篡改或伪造。

SSL证书与HTTPS加密的核心原理

SSL证书是数字证书的一种，遵循SSL/TLS协议。它的核心作用是在客户端（如浏览器）和服务器（如网站）之间建立一个加密的、身份验证的通信通道。

非對稱加密同對稱加密嘅協作

整个HTTPS握手过程巧妙地结合了两种加密技术。首先，服务器将其SSL证书（内含公钥）发送给浏览器。浏览器使用内置的受信根证书来验证该服务器证书的真实性。验证通过后，浏览器会生成一个随机的“会话密钥”，并使用服务器的公钥对其进行加密，然后发送回服务器。只有拥有对应私钥的服务器才能解密得到这个会话密钥。此后，双方就使用这个高效的对称会话密钥来加密和解密实际的传输数据。这个过程既保证了密钥交换的安全（非对称加密），又兼顾了大数据量加密的效率（对称加密）。

推薦閱讀 全面解析SSL證書：類型、申請流程同安全作用。

SSL证书中的关键信息

一份标准的SSL证书包含了多项重要信息：证书持有者的域名（Common Name）、持有者组织信息、证书颁发机构（CA）的名称、证书的公钥、有效期起止日期，以及颁发机构的数字签名。这个数字签名是建立信任链的关键，它证明了该证书确实是由某个受信的CA签发的，且内容未被篡改。

Bluehost SSL 證書

BlueHost SSL 證書提供1-2年嘅延長期限選項，支援RSA或ECC算法，密鑰長度可達4096位，並提供高達175萬美元嘅保障金額。

每月 $7.49 美金起

前往Bluehost SSL 證書 →

hosting.com SSL 證書

經濟實惠嘅 DV、OV、EV SSL 證書，最高256位加密，5 ~ 100 萬美金保障金額，24小時全天候支援

每月 $2.5 美金起

前往hosting.com SSL證書 →

SSL證書嘅主要類型同適用場景

根據驗證等級同功能嘅唔同，SSL證書主要分為以下幾類，以滿足唔同場景嘅安全同信任需求。

域名驗證型證書（DV SSL）

DV证书是签发速度最快、成本最低的证书类型。CA仅验证申请者对该域名的控制权，通常通过验证指定邮箱（如[email protected]）或设置特定的DNS解析记录来完成。它不验证企业或组织的真实身份。
DV证书非常适合个人网站、博客、测试环境或内部系统，它能提供相同强度的加密，但浏览器地址栏仅显示锁标志，不显示公司名称。

組織驗證型證書（OV SSL）

OV证书在DV验证的基础上，增加了对申请组织（如公司、政府机构）真实性的严格审核。CA会核实公司的工商注册信息、物理地址和电话等。由于经过了更严格的人工核验，其签发时间通常需要数个工作日。
OV证书通常用于企业官网、电子商务平台等需要向用户展示实体可信度的场景。在部分浏览器的证书详情页中可以查看到已验证的企业名称。

擴展驗證型證書（EV SSL）

EV证书是验证最严格、安全等级最高的证书。其审核流程最为严谨，除了组织信息，还可能涉及法律文件的审查。最大的特点是，在启用EV证书的浏览器中，地址栏不仅会显示锁标志，还会直接以绿色框的形式显示通过验证的公司名称。
EV证书曾广泛用于银行、金融、大型电商等对信任要求极高的网站。不过，随着浏览器UI的演变，部分现代浏览器已不再突出显示绿色地址栏，但其背后严格的审核标准依然是最高信任级别的象征。

推薦閱讀 SSL證書全解析：從工作原理到部署最佳實踐指南。

多域名同通配符證書

除了验证等级，证书还按覆盖的域名数量分类。单域名证书只保护一个具体的域名（如 www.example.com）。多域名证书（SAN/UCC）可以在一张证书中保护多个不同的域名（如 example.com, shop.example.com, another.com）。通配符证书则能保护一个主域名及其所有同级子域名（如 *.example.com 可保护 blog.example.com, mail.example.com 等），对于拥有大量子域名的企业而言非常灵活高效。

點樣申請同部署SSL證書

为网站启用HTTPS的第一步是获取并正确安装SSL证书。以下是标准的申请与部署流程。

第一步：生成證書簽名請求

这个过程通常在您的网站服务器上完成。您需要使用工具（如OpenSSL）生成一对密钥（私钥和公钥）以及一个证书签名请求文件。CSR文件中包含了您的域名、组织信息以及公钥。请务必安全保管生成的私钥，这是解密通信的关键，且不可丢失。

UltaHost SSL證書

DV、EV、OV證書，最高支援$1,750,000美元保障金額，支援無限子域名，支援iOS同Android應用，優惠價每月20%$15.95美元起，30日退款保證

造訪 UltaHost

第二步：向CA提交申請同驗證

选择一家可信的证书颁发机构或与其合作的经销商，提交您的CSR文件，并根据您选择的证书类型（DV, OV, EV）完成相应的验证流程。对于DV证书，验证通常在几分钟到几小时内自动完成；对于OV/EV证书，则需要配合CA提交相关证明文件并等待人工审核。

第三步：下載同安裝證書

通过验证后，CA会向您颁发SSL证书文件（通常为.crt或.pem格式）。您需要将证书文件连同证书链文件（中间证书）上传到您的Web服务器（如Nginx, Apache, IIS等）。在服务器配置中，将证书文件、私钥文件以及证书链文件路径进行正确配置，并重启服务器服务使HTTPS生效。

第四步：後續維護同更新

SSL证书有固定的有效期（目前最长为13个月）。您必须在证书过期前续费并重新签发、安装新证书。建议设置提醒，或使用支持自动续期的服务（如Let‘s Encrypt的ACME协议），以避免因证书过期导致网站访问被浏览器拦截。

推薦閱讀 全面解析SSL證書：類型、選擇指南同安裝流程詳解。

摘要

SSL证书是实现HTTPS加密通信、保障网络数据传输安全不可或缺的核心组件。它通过非对称与对称加密的协同工作，确保了数据的机密性、完整性，并通过CA的验证机制实现了服务器的身份认证。从基础的DV证书到高度可信的EV证书，再到灵活的多域名和通配符证书，不同类型的证书为各种网站和应用场景提供了匹配的安全解决方案。理解其原理、类型和申请流程，是每一位网站所有者、开发者和运维人员构建安全可信网络环境的基本功。在当今全面拥抱HTTPS的时代，为您的网站配置正确的SSL证书，不仅是保护用户数据的必要措施，也是建立专业品牌形象和获得搜索引擎青睐的关键一步。

常見問題

DV、OV、EV證書嘅加密強度有冇分別？

没有区别。无论是哪种验证类型的SSL证书，它们提供的传输层加密强度是相同的，主要区别在于对申请者身份验证的严格程度以及浏览器的展示方式。其核心的TLS协议和密钥交换机制提供的加密安全性是一致的。

免費嘅SSL證書同收費嘅有咩分別？

免费证书（如Let’s Encrypt颁发的）通常是DV证书，提供了与付费DV证书相同的加密强度。主要区别在于服务支持、保险赔付和证书功能。付费证书通常提供更好的技术支持、针对证书错误导致损失的经济赔偿（担保），以及更多的功能选项（如OV/EV验证、多域名支持等）。免费证书有效期较短（如90天），需要更频繁地自动续期。

安装了SSL证书后，网站就一定安全吗？

不一定。SSL证书主要保障的是数据在“传输过程中”（从用户浏览器到服务器）的安全，即防窃听和防篡改。它并不能保护服务器本身的安全（如防止黑客入侵服务器）、不能阻止网站被植入恶意代码（XSS攻击）、也不能保证网站应用逻辑没有漏洞。网站安全是一个系统工程，SSL/TLS加密只是其中至关重要的一环。

浏览器提示“证书不安全”可能是什么原因？

出现此警告的常见原因有：证书已过期；证书颁发的域名与您访问的域名不匹配；证书链不完整或配置错误；证书是由浏览器不信任的根证书（如自签名证书）签发的；或服务器的SSL/TLS协议版本或加密套件配置不安全。需要根据具体的错误提示信息进行排查。

通配符證書可以保護所有子域名嗎？

通配符证书（如 *.example.com）可以保护同一级的所有子域名，但不能保护多级子域名。例如，*.example.com 可以保护 blog.example.com 和 mail.example.com，但不能保护 dev.www.example.com（这是二级子域名）。要保护二级子域名，需要单独的证书或使用多域名证书。