大家是如何選擇適合自己站點的SSL證書的？自簽名證書是簽名實體向自身頒發(fā)的一種證書，即發(fā)布者和證書主體是相同的。而國內(nèi)一些網(wǎng)站使用這種自簽名SSL證書，那么可以使用自簽名證書嗎？自簽名證書包含很大的安

大家是如何選擇適合自己站點的SSL證書的？

自簽名證書是簽名實體向自身頒發(fā)的一種證書，即發(fā)布者和證書主體是相同的。而國內(nèi)一些網(wǎng)站使用這種自簽名SSL證書，那么可以使用自簽名證書嗎？

自簽名證書包含很大的安全風(fēng)險。SSL網(wǎng)站安全證書的兩大關(guān)鍵功能，除了眾所周知的加密數(shù)據(jù)外，在釣魚網(wǎng)站猖獗時，網(wǎng)站身份識別的作用尤為重要。CA機(jī)構(gòu)需要一個非常嚴(yán)格的審核過程，以便將根植入瀏覽器。只有通過根內(nèi)置證書，才能對用戶透明地驗證服務(wù)的身份。

自簽名證書需要客戶端下載根證書，完成SSL網(wǎng)站安全證書的驗證過程。將根證書的真實性的判斷強(qiáng)加給不知道它的用戶顯然是一個很大的風(fēng)險。同樣，釣魚網(wǎng)站也可以偽造自簽名SSL網(wǎng)站安全證書來欺騙用戶。因此，自簽名證書不可用。

既然沒有自簽名證書，如何選擇國內(nèi)外知名品牌的SSL證書？

SSL證書的品牌是否重要？答案是肯定的。證書品牌的背后，關(guān)系到數(shù)據(jù)安全、服務(wù)質(zhì)量和證書的價值。SSL證書本身就是品牌，SSL證書品牌與互聯(lián)網(wǎng)業(yè)務(wù)相輔相成。使用高端SSL網(wǎng)站安全證書品牌對于提高互聯(lián)網(wǎng)應(yīng)用的品牌價值具有重要意義。

目前SSL證書可分為三種類型：域名證書（DV SSL證書）、企業(yè)證書（OV SSL證書）和增強(qiáng)證書（EV SSL證書）。個人開發(fā)者和中小企業(yè)可以使用免費DV產(chǎn)品；企業(yè)應(yīng)用和大型互聯(lián)網(wǎng)應(yīng)用可以選擇多域名或通配符證書；應(yīng)用推廣和圖片展示頁面可以使用高端EV服務(wù)器證書。

確認(rèn)證書的品牌和類型后，如何申請SSL證書？瞄準(zhǔn)網(wǎng)是國內(nèi)SSL證書服務(wù)提供商。其SSL證書覆蓋國內(nèi)外知名品牌。可為用戶提供7×24小時技術(shù)支持服務(wù)，協(xié)助客戶進(jìn)行證書安裝檢驗服務(wù)和技術(shù)上門服務(wù)。擁有完善的安全解決方案、領(lǐng)先的證書管理平臺和專業(yè)的技術(shù)支持團(tuán)隊，瞄準(zhǔn)網(wǎng)為中國用戶提供最好的本地化服務(wù)和服務(wù)技術(shù)支持。

怎么給自己網(wǎng)站安裝網(wǎng)站安全證書？

要為您的網(wǎng)站安裝SSL安全證書，您應(yīng)該首先確定您的網(wǎng)站屬于哪種服務(wù)器，通常有以下四種類型。

如果您的網(wǎng)站使用虛擬主機(jī)，很可能無法安裝，但它仍受主機(jī)平臺的限制。如果它支持它，通常有安裝說明。

如果您使用的是虛擬機(jī)（如阿里云、騰訊云、百度云等），您可以選擇在其管理后臺申請或購買SSL安全證書。

如果是個人網(wǎng)站，可以申請免費的SSL安全證書，企業(yè)必須購買。申請或購買后，可根據(jù)各自平臺的證書安裝說明選擇相應(yīng)網(wǎng)站服務(wù)器類型的安裝方式，并按步驟進(jìn)行安裝和設(shè)置。

如果服務(wù)器放在本地，也可以向購買域名或購買安全證書的平臺申請安裝。步驟同上。

例如，我自己的服務(wù)器是阿里云服務(wù)器。我安裝的Apache的最新版本在默認(rèn)情況下是打開的?；旧希也恍枰渲萌魏螙|西。即在申請證書（有根域名、公鑰和私鑰三個文件）后，按照說明將證書文件放在指定目錄中，然后更改配置文件以指向證書。

網(wǎng)站為什么需要安裝SSL安全證書？

HTTP的傳輸服務(wù)是純文本傳輸。所謂明文傳輸就是通過捕獲通信雙方之間的數(shù)據(jù)包，發(fā)現(xiàn)HTTP的報頭是明文的。您可以很容易地在cookies和url中獲得信息。不要低估HTTP頭信息。以前這兩個位置有許多帳戶名和密碼。當(dāng)然，隨著哈希、編碼和其他技術(shù)的應(yīng)用，現(xiàn)在想要使用它們就不容易獲得密碼。同時，HTTP的數(shù)據(jù)部分也是純文本，可以方便地恢復(fù)文本、圖片、視頻等數(shù)據(jù)內(nèi)容。

因此，有一個HTTPS服務(wù)，它加密明文傳輸?shù)膬?nèi)容，包括HTTP頭和數(shù)據(jù)部分。由于加密后的數(shù)據(jù)是一塌糊涂的二進(jìn)制數(shù)據(jù)，因此不可能獲得有意義的信息。

準(zhǔn)確地說，HTTPS不是協(xié)議，而是TLS和HTTP的組合。因此，HTTP仍然是以前的HTTP，只在HTTP和TCP（dtls，更不用說）層之間添加了SSL協(xié)議，這樣TCP上層的數(shù)據(jù)部分就可以加密了。

實際上，SSL的設(shè)計非常簡單，因為這一層的主要功能是協(xié)商通信雙方的加密密鑰，然后對上層數(shù)據(jù)進(jìn)行加密和解密。SSL之所以如此復(fù)雜，是因為數(shù)字證書的存在。首先，加密有兩種方式，對稱加密和非對稱加密。對稱加密的速度比非對稱加密快，因此在實際應(yīng)用中，對大量數(shù)據(jù)的加密是對稱加密。

然而，對稱加密不能保證密鑰的安全性，因此需要非對稱加密來傳輸對稱加密所使用的密鑰。非對稱加密需要驗證通信對等方的身份，因此需要數(shù)字證書。當(dāng)然，數(shù)字證書的作用是攜帶簽名來驗證通信對等方的身份。在OpenSSL（OpenSSL是SSL協(xié)議RFC的實現(xiàn)）中，證書的另一個作用是攜帶非對稱加密公鑰和非對稱算法。

因此，對于使用HTTPS傳輸?shù)木W(wǎng)站，需要數(shù)字證書。