Home » 学习 » 词汇表 » 什么是 SSL 证书?

什么是 SSL 证书?

最后更新:2026年3月14日

SSL/TLS 证书将公钥绑定到域名(有时也绑定到组织),以便浏览器能够认证服务器并建立加密的 HTTPS 连接。大多数面向公众的网站都应使用 TLS 证书来加密传输中的敏感数据(例如凭据和支付信息),许多浏览器和合规性要求实际上将 HTTPS 作为关键工作流的强制要求。

什么是 SSL?

SSL(安全套接字层)是用于保护互联网连接的原始协议。虽然 TLS(传输层安全)已取代最初的 SSL 协议,但“SSL”仍然是用于保护网络流量的证书的常用术语。现代的“SSL”证书与 TLS 一起使用,TLS 会加密流量并使用完整性检查,这样拦截的数据在未被检测的情况下无法被读取或篡改。

SSL 证书如何工作?

SSL/TLS 证书利用了公钥基础设施(PKI),它依赖于两个不同的密码学密钥:

  1. 公钥:嵌入在证书中;在 TLS 握手期间用于密钥交换和服务器认证。
  2. 私钥:安全地保存在网络服务器上;用于解密预主密钥或在握手期间证明服务器身份。

浏览器连接到 HTTPS 网站时,TLS 握手通常按如下方式进行:

  1. 身份请求:浏览器请求服务器身份验证。
  2. 证书传输:服务器发送其 SSL 证书和公钥的副本。
  3. 验证与认证:浏览器将证书与其受信任的根存储进行验证。然后服务器使用其私钥对密钥交换参数的部分签名。浏览器验证此签名以确认服务器身份。
  4. 密钥交换:客户端和服务器执行临时密钥交换(通常为 ECDHE)。双方生成临时密钥并交换公钥部分,使他们能够独立计算共享密钥而不通过网络发送,从而提供前向保密性。
  5. 加密会话建立:双方使用对称会话密钥加密整个会话期间传输的所有数据。

SSL 证书的用途是什么?

实际上,SSL/TLS(使用证书)具有三个核心属性:

  • 加密:将明文数据转换为密文,防止在传输过程中被未授权访问。
  • 认证:确认服务器属于域名所有者,防止中间人攻击(MITM)。
  • 数据完整性:通过密码学哈希确保数据在传输过程中未被修改或损坏。

为什么网站需要 SSL 证书?

在许多情况下,由于浏览器行为和合规要求,SSL/TLS 是必需或强烈推荐的:

  • 浏览器要求:现代浏览器会将非 HTTPS 网站标记为“不安全”,并实施越来越严格的策略:阻止混合内容、防止访问现代 Web API,在某些情况下需要用户额外确认下载或表单提交。
  • 合规要求:诸如 PCI-DSS、HIPAA 和 GDPR 等框架要求加密传输中的数据。
  • 搜索引擎优化(SEO):Google 等搜索引擎将 HTTPS 作为轻微的排名信号。更重要的是,HTTPS 使现代 Web 功能(如服务工作者)得以实现,并保留了引用来源数据,间接提升 SEO 绩效。

如何实施和检查 SSL 证书

获取证书涉及生成证书签名请求(CSR)。在 Linux/Apache/Nginx 服务器上,通常使用 OpenSSL 生成:

openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr

如何检查 SSL 证书到期

证书安装后,关键是验证配置是否正确及有效期是否符合预期。你可以通过命令行(CLI)手动检查 SSL 证书到期并查看证书详情,使用命令:

openssl s_client -connect yourdomain.com:443 -servername yourdomain.com | openssl x509 -noout -dates

此命令连接服务器,检索活动证书,并过滤输出以显示notBefore(开始)和notAfter(到期)日期。

常见实施陷阱

即使有有效证书,网站可能显示“不安全”,原因包括:

  • 中间链问题:如果未安装“CA Bundle”,浏览器无法将您的证书链接回根 CA。
  • 主机名不匹配:证书的主题备用名称与请求的主机名不匹配(例如,使用仅对 example.com 有效的证书访问 store.example.com)。
  • 混合内容:页面是 HTTPS,但图片或脚本是通过不安全的 HTTP 加载。

SSL 证书类型

SSL 证书按两个主要因素分类:验证级别和保护的域名数量。验证级别反映证书颁发机构(CA)执行的背景调查深度。

按验证级别

不只是看定义,使用此框架根据您的网站目的匹配适当的验证级别。

如果你的目标是…
使用此验证级别
验证深度
仅限速度和加密:个人博客、测试环境或内部维基。
域名验证 (DV)
自动检查 DNS/邮箱。几分钟内颁发。
品牌身份:企业网站、B2B SaaS 或引导生成页面。
组织验证 (OV)
人工审核营业执照和实际地址。
最高信任级别:电子商务、银行或处理敏感个人身份信息。
扩展验证 (EV)
严格的法律和运营审计。提供最高级别担保。

按保护的域名分类

  • 单域名 SSL:保护一个完全限定域名(FQDN)或子域(例如 example.com)。
  • 多域名 SSL (UCC/SAN):在单个证书下保护多个不同域名(例如 com、example.org)。
  • 通配符 SSL:(详细说明见下文)。

通配符 SSL 证书

通配符 SSL 证书保护主域名及其无限数量的一层子域名(例如 *.example.com)在同一证书下。这样减少了在高流量环境中管理单独证书的行政负担。但它们需要严格的安全管理;如果私钥被泄露,所有子域都会暴露风险。

自签名与 CA 签名证书

自签名证书顾名思义:是由开发者自己签名的 SSL 证书,而不是由独立、受信任的公共证书颁发机构签名。自签名证书可使用与 CA 签名证书相同的密码算法,但浏览器默认不信任它们,会显示警告,除非手动将其安装为受信任证书。由于没有独立的“信任链”,浏览器会显示明显安全警告,并使用户访问自签名证书网站更困难(但不是不可能)。自签名证书应用于私有的内部开发环境—切勿用于生产环境。

免费与付费 SSL 证书

是的。得益于 Let’s Encrypt 等项目,获取基础的域名验证(DV)证书完全免费。这些免费证书通过 ACME(自动证书管理环境)协议,利用脚本自动签发和续期。

虽然免费证书(如 Let’s Encrypt)提供标准加密,但通常有效期为90天。这一较短的生命周期需要通过 ACME 协议进行自动续期。如果自动化失败,证书将过期,引发安全警告,阻止大多数用户访问网站,除非明确绕过浏览器保护。

什么是 SSL 证书监控?

理解 SSL 工作原理很重要,但确保证书持续有效且有效需要持续监控。正如DNS 监控一样,SSL 证书监控自动检查端点的证书有效性(受信任链和主机名匹配)、到期阈值和常见 TLS 配置问题。证书监控定期检查证书有效性、失效日期和常见配置问题(例如缺失中间证书)。系统可提前提醒团队在浏览器显示警告前续期或修复证书链。为防止安全漏洞,许多组织利用最佳 SSL 证书监控工具实现多地点自动检查和实时警报。

详情请见:“什么是 SSL 证书监控?

案例分析:“中间证书”陷阱

常见问题是某些桌面浏览器可以访问,但移动浏览器显示证书警告。这是因为浏览器构建证书链的能力不同—有些浏览器能通过 AIA 扩展获取缺失的中间证书,或有更完整的本地证书库,而其他浏览器(尤其是移动端)要求服务器提供完整链。当浏览器首次遇到不完整链时,无法验证证书。如果服务器配置错误只发送了叶证书而未发送中间链,移动用户会遇到“您的连接不是私密连接”的提示。持续监控能即时检测到“链不完整”错误,即便网站在内部看来“正常”。

常见问题解答

监控和证书管理是同一回事吗?

不可以。虽然健全的证书管理策略(使用如 Let’s Encrypt 或 DigiCert 等工具)处理证书的技术签发和续期,但监控是独立的验证层。监控确保这些管理过程被正确执行,且网站对用户保持可访问状态。

至少应每天检查一次过期情况。对于业务关键网站,配置和心跳检测应每几分钟执行一次,以捕捉突发变化。

是的。用于API、预发布或内部工具的子域名是频繁的故障点,且在手动审计中常被忽视。

CT监控跟踪公共日志,以识别为您的域颁发的每个证书,帮助检测“影子IT”或未经授权的证书颁发。

是的。自动监控提供安全框架所需的审计轨迹,以证明加密标准的维护。

是的。可以部署私有监控代理,以跟踪内部API和员工门户上的证书,这些证书无法被公共扫描器访问。

轻松监控和验证SSL证书。
立即注册免费试用或安排演示,亲自体验!