SSL證書係咩：類型、工作原理同部署指南

乜嘢係SSL證書

SSL證書，全稱為安全套接字層證書，係一種數碼證書，用嚟喺客戶端（例如瀏覽器）同伺服器（例如網站）之間建立加密連結。佢嘅核心作用係驗證網站嘅身份，同確保喺兩者之間傳輸嘅所有數據都經過高強度加密，從而防止數據喺傳輸過程中被竊取或篡改。當你訪問一個用SSL證書保護嘅網站時，地址欄通常會顯示一個鎖形圖標，而且網址以「https://」開頭，其中嘅「s」就代表「安全」。

冇SSL證書，你嘅網絡通訊（例如登入憑證、信用卡資料、私人聊天記錄）就會以純文字形式喺互聯網上傳輸，任何能夠攔截網絡流量嘅攻擊者都可以輕易讀取呢啲敏感資訊。所以，SSL證書係現代互聯網安全嘅基石，唔單止保護用戶私隱，亦係建立用戶信任嘅關鍵標識。

SSL證書嘅主要類型

根據驗證級別同覆蓋範圍，SSL證書主要分為以下幾種類型，以滿足唔同場景嘅安全需求。

推薦閱讀 乜嘢係 SSL 證書？網站安全嘅基石。

域名驗證型證書

域名驗證證書係頒發速度最快、成本最低嘅SSL證書類型。證書頒發機構只會驗證申請者對域名嘅控制權，通常透過驗證指定電郵或添加特定嘅DNS記錄嚟完成。呢類證書唔會驗證企業或組織嘅真實身份，只會顯示加密連接。佢適用於個人網站、網誌或測試環境，主要提供基本嘅加密功能。

Bluehost SSL 證書

BlueHost SSL 證書提供1-2年嘅延長期限選項，支援RSA或ECC算法，密鑰長度可達4096位，並提供高達175萬美元嘅保障金額。

每月 $7.49 美金起

前往Bluehost SSL 證書 →

hosting.com SSL 證書

經濟實惠嘅 DV、OV、EV SSL 證書，最高256位加密，5 ~ 100 萬美金保障金額，24小時全天候支援

每月 $2.5 美金起

前往hosting.com SSL證書 →

機構驗證型證書

組織驗證證書喺DV證書嘅基礎上增加咗對組織真實性嘅審核。CA會檢查申請者嘅官方註冊資料，例如公司名、地址同電話號碼等等。審核過程通常需要幾個工作天。部署OV證書之後，用戶可以透過點擊瀏覽器網址列嘅鎖形圖標，睇到已經驗證嘅組織資料，咁樣有助於增強用戶對正規企業網站嘅信任度，通常用喺企業官網同公共服務平台。

擴展驗證型證書

延伸驗證證書係驗證最嚴格、信任等級最高嘅SSL證書。除咗進行嚴格嘅組織身份驗證之外，CA仲會跟從一系列標準化嘅審查流程。獲得EV證書嘅網站喺大多數主流瀏覽器入面，網址列會直接顯示綠色嘅公司名，呢個係最高級別嘅安全同信任標識。金融、電子商務等處理高度敏感資料嘅網站通常會採用EV證書，嚟最大化用戶信心。

萬用字元證書同多域名證書

通配符證書用一個星號通配符嚟保護一個主域名同佢所有同級子域名。例如，一張針對「*.example.com」嘅證書可以同時用喺「www.example.com」、「mail.example.com」同「shop.example.com」。

多域名證書，又叫主題備用名稱證書，容許喺一張證書入面保護多個完全唔同嘅域名或者子域名。例如，一張證書可以同時保護「example.com」、「example.net」同「anotherexample.org」。呢兩種類型都為擁有多個域名嘅組織提供咗靈活而且高效嘅管理方案。

推薦閱讀 全方位解析SSL證書：原理、類型、申請同安裝全攻略。

SSL/TLS協議嘅工作原理

SSL同佢後續嘅升級版TLS協議，核心工作係建立一個安全嘅「握手」過程，喺正式傳輸應用數據之前，完成身份認證同密鑰協商。

非對稱加密同對稱加密嘅結合

SSL/TLS協議巧妙噉結合咗兩種加密方式。喺握手初期，使用非對稱加密（例如RSA或者ECC）。伺服器會將包含公鑰嘅SSL證書發送俾客戶端。客戶端用呢個公鑰加密一個隨機生成嘅「預主密鑰」再傳返俾伺服器，只有持有對應私鑰嘅伺服器先可以解密佢。呢個過程確保咗密鑰交換嘅安全。

跟住，雙方利用呢個「預主密鑰」生成相同嘅「會話密鑰」。喺之後成個會話入面，所有數據嘅加密同解密都會使用呢個對稱密鑰。對稱加密演算法（例如AES）嘅計算效率遠高過非對稱加密，咁樣就保證咗高強度加密之下嘅通訊性能。

UltaHost SSL證書

DV、EV、OV證書，最高支援$1,750,000美元保障金額，支援無限子域名，支援iOS同Android應用，優惠價每月20%$15.95美元起，30日退款保證

造訪 UltaHost

SSL/TLS握手過程詳解

一個典型嘅TLS握手過程包含以下核心步驟：
1. 客戶端問候：客戶端向伺服器傳送支援嘅最高TLS版本、支援嘅加密套件列表，同埋一個隨機數。
2. 伺服器問候：伺服器揀選雙方都支援嘅TLS版本同加密套件，連同自己嘅SSL證書同一個隨機數傳送畀客戶端。
3. 證書驗證：客戶端驗證伺服器證書嘅有效性（係咪由可信CA簽發、域名係咪匹配、係咪喺有效期內）。
4. 密鑰交換：客戶端使用證書中嘅公鑰加密預主密鑰並傳送畀伺服器。
5. 生成會話密鑰：客戶端同伺服器用交換嘅隨機數同預主密鑰，各自獨立生成相同嘅會話密鑰。
6. 握手完成：雙方交換一條用會話密鑰加密嘅訊息，確認握手成功，之後開始加密傳輸應用數據。

點樣獲取同部署SSL證書

為網站啟用HTTPS涉及攞證書、驗證身份、安裝同配置等步驟。

向證書頒發機構申請

可以揀向全球信得過嘅權威CA或者可靠嘅中間服務商買證書。申請時需要生成一個證書簽名請求，裏面包含你嘅公鑰同組織資料。將CSR交俾CA之後，根據申請嘅證書類型完成相應嘅驗證流程（域名驗證、組織驗證等等）。驗證通過之後，CA就會簽發包含你公鑰嘅證書檔案。

推薦閱讀 SSL證書係咩嚟㗎？佢點樣保護你個網站同數據安全。

而家，都有好多非牟利機構提供免費嘅域名驗證型證書，佢嘅加密強度同收費證書冇分別，大大推動咗HTTPS嘅普及。

伺服器安裝同設定

攞到證書檔案之後，需要將佢安裝到託管網站嘅網絡伺服器上面。具體步驟會因應伺服器軟件而唔同：

對於Apache伺服器，通常需要配置SSLCertificateFile同埋SSLCertificateKeyFile用指令去指定證書同私鑰嘅路徑。對於Nginx伺服器，喺設定檔嘅server區塊入面，透過ssl_certificate同埋ssl_certificate_key指令嚟設定。

安裝完成之後，一定要強制將所有HTTP流量轉去HTTPS，呢樣可以透過伺服器設定規則實現。例如，喺Nginx入面，可以加一個監聽80埠嘅伺服器區塊，將所有請求用301重新導向去對應嘅HTTPS地址。

後續維護同更新

SSL證書有固定嘅有效期，通常係一年或者更短。證書過期會令瀏覽器顯示嚴重嘅安全警告，中斷網站訪問。所以，設定自動續期提醒或者用支援自動續期嘅工具至關重要。

另外，應該關注加密算法嘅演進，定期更新伺服器配置，停用已經唔安全嘅舊協議（例如SSL 2.0/3.0）同弱加密套件，採用更安全高效嘅算法。

摘要

SSL證書係實現網絡通信安全不可或缺嘅核心技術。佢透過嚴謹嘅加密同身份驗證機制，確保咗數據喺傳輸過程嘅機密性、完整性同真實性。由基礎嘅域名驗證到嚴格嘅組織驗證，唔同類型嘅證書為各類網站提供咗相配嘅安全解決方案。理解佢嘅工作原理有助我哋更好咁配置同維護安全連接。而正確嘅申請、部署同維護流程，就係將呢份安全保障落地嘅關鍵步驟。喺日益注重私隱同安全嘅上網環境中，為網站部署有效嘅SSL證書已經由一項可選項變成一項基本責任。

常見問題

HTTPS同SSL有咩關係？

HTTPS本質上係HTTP協議嘅安全版本。當網站部署咗SSL/TLS證書之後，HTTP協議就會喺SSL/TLS加密層上面運行，咁就形成咗HTTPS。所以，SSL/TLS係實現HTTPS安全通訊嘅底層協議。

SSL證書係咪永久有效㗎？

唔係。為咗安全考慮，所有SSL證書都有有效期，而家主流CA簽發嘅證書最長有效期係398日。證書過期之後一定要更新，如果唔係瀏覽器就會阻止用戶訪問網站，仲會顯示唔安全警告。

免費嘅SSL證書同收費嘅有咩分別？

免費嘅通常係域名驗證型證書，提供同付費DV證書一樣嘅加密強度。主要分別在於：免費證書有效期較短（例如90日）、通常唔提供商業擔保（例如賠償）、技術支援有限，而且唔提供組織驗證或者擴展驗證功能。付費證書就提供更長嘅有效期、身份驗證、保險賠償同埋專業嘅技術支援服務。

部署SSL證書會影響網站速度嗎？

喺建立連接嘅初始握手階段，由於需要進行密鑰交換同驗證，會引入少量延遲。但係一旦安全通道建立，使用對稱加密進行數據傳輸對性能嘅影響好細，通常用戶感覺唔到。相反，現代TLS協議同HTTP/2嘅優化，有時反而能夠提升頁面加載速度。

一張SSL證書可以用喺多部伺服器度嗎？

可以，但係需要根據證書類型同伺服器配置嚟定。多域名證書或者通配符證書可以部署喺多個伺服器上，只要呢啲伺服器承載嘅域名包含喺證書嘅覆蓋範圍內。但係需要注意嘅係，證書嘅私鑰需要喺多台伺服器之間安全地共享同管理，呢樣可能會帶嚟額外嘅安全風險。