随着互联网技术的快速发展,钓鱼网站、信息被篡改等安全问题也时有发生,为了加强安全防护,使用https加密访问显得尤其重要。网站安装https证书后,即启用了https加密协议访问,可实现身份验证及数据加密传输功能。
https证书又称为SSL证书,它是激活客户端浏览器到网站服务器之间的“SSL加密通道”(SSL协议),实现双向加密传输。SSL证书按照验证等级不同,划分为域名型DV SSL证书、企业型OV SSL证书及扩展型EV SSL证书三种类型。
不同SSL证书类型,申请者在提交资料信息时会有所差别。OV SSL证书和EV SSL证书申请者需要向可信第三方CA机构提交相关信息,例如公司营业执照、申请者域名、生成的公钥及证书请求文件CSR等,然后CA机构会对提交的这些信息进行严格的人工审核。而DV SSL证书不需要提交纸质版文件,CA机构验证下域名所有权即可。
当证书申请者提供的信息审核通过后,CA机构会向申请者颁发证书,证书内容包括明文信息和签名信息。获取证书后,申请者可以通过安装的CA证书中的公钥对签名信息进行解密并与明文信息进行对比验证签名的完整性。
https证书验证过程
①验证https证书本身的合法性(验证签名完整性,验证证书有效期等)。
②验证https证书颁发者的合法性(查找颁发者的证书并检查其合法性,这个过程是递归的)。
③https证书验证的递归过程最终会成功终止,而成功终止的条件是:证书验证过程中遇到了锚点证书,锚点证书通常指:嵌入到操作系统中的根证书(权威证书颁发机构颁发的自签名证书)。
https证书验证失败的原因及解决方法
原因1、无法找到https证书的颁发者。
解决方法:https证书要选择可信权威的SSL证书品牌商,如DigiCert、GeoTrust、GlobalSign等知名品牌。它们颁发的https证书安全性会更高,受各大浏览器信任。
原因2、https证书过期
解决方法:目前https证书的有效期是13个月,超过这个时间会提示证书过期,这时需要重新签发证书,流程和第一次申请时相似。
原因3、无法找到锚点证书(即在证书链的顶端没有找到合法的根证书)
解决方法:如果无法找到合法根证书时,需要重新签发https证书,安装所缺失的根证书。
原因4、访问的server的dns地址和证书中的地址不同
解决方法:仔细检查域名地址与https申请时提交的地址。一个https证书所匹配的域名注册是具备唯一性的,如果您网站包含多个域名,那么建议申请多域名SSL证书或通配符证书。
