客户问答

等保三级 等保三级（即《网络安全等级保护基本要求》第三级）是面向重要信息系统设定的安全合规等级，适用于一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、社会秩序、公共利益，或对公民、法人及其他组织合法权益造成特别严重损害的信息系统。典型场景包括：省级以上政务服务平台、大型金融核心业务系统、三级甲等医院HIS系统、大型能源调度平台、关键基础设施运营单位的生产控制系统等。 在SSL/TLS层面，等保三级明确要求：必须采用国密算...

ssl证书常见知识 SSL/TLS 证书是实现 HTTPS 加密通信的核心信任凭证，本质是一组由受信证书颁发机构（CA）签发的公钥数字证书，遵循 X.509 标准（RFC 5280）。其核心作用包括：验证服务器身份、建立加密通道（协商对称密钥）、保障传输数据的机密性与完整性。 证书包含关键字段：主体域名（Subject Alternative Name，SAN）、公钥、签名算法（如 RSA-PSS、ECDSA-SHA256）、有效期（自 2024 年起主流 CA 已将最大有效期限制为 398 天）、颁发者（Issuer）、以及由...

SSL/TLS 验证 SSL/TLS 验证是指客户端（如浏览器、curl、移动 App）在建立 HTTPS 连接时，对服务器提供的 ssl证书 执行的一系列可信性检查，核心包括：证书链完整性、签名有效性、域名匹配（Subject Alternative Name）、有效期、吊销状态（OCSP/CRL）以及颁发机构（CA）是否受信任。 验证过程严格遵循 RFC 5280 和 TLS 1.2/1.3 协议规范。现代浏览器（Chrome、Firefox、Safari）默认只信任操作系统或自身内置的根证书存储（Root Store）中的 CA；若证书由未...

通配符SSL证书（Wildcard）是什么？ 通配符SSL证书是一种可保护主域名及其所有一级子域名的单张证书，例如 *.example.com 可同时覆盖 mail.example.com、shop.example.com 和 api.example.com。它不是万能方案——无法保护二级子域名（如 dev.mail.example.com）或不同根域名（如 example.net），且主流浏览器和CA/B论坛明确要求其必须使用SHA-2签名与密钥长度≥2048位（RSA）或≥256位（ECDSA）。 该段结束后换行 技术背景与适用边界 通配符证书...

免费https加密 “免费 HTTPS 加密”通常指使用免费颁发的 免费 SSL证书（如 Let’s Encrypt 提供的证书）来启用 TLS 协议，实现网站与客户端之间的传输层加密。其本质并非“无成本加密算法”，而是证书签发服务免费——加密本身由客户端（浏览器）和服务器共同基于 TLS 协议完成，使用标准的 RSA 或 ECDSA 密钥交换与 AES/GCM 等对称加密算法。 Let’s Encrypt 是目前最广泛采用的免费证书颁发机构（CA），遵循 ACME 协议，支持自动化申请、验证与续订。它...

HSTS HSTS（HTTP Strict Transport Security，RFC 6797）是一种 Web 安全策略机制，通过响应头 Strict-Transport-Security 告知浏览器：在指定时间内，必须仅使用 HTTPS 访问该域名及其子域名，禁止任何形式的 HTTP 回退或明文降级。 启用 HSTS 后，浏览器会在本地缓存该策略（由 max-age 参数控制），即使用户手动输入 http:// 或点击 HTTP 链接，浏览器也会自动将请求重写为 HTTPS，并拒绝加载任何不安全的混合内容。该机制可有效缓解 SSL...

CFCA EV证书 CFCA EV证书是由中国金融认证中心（China Financial Certification Authority，CFCA）签发的扩展验证（Extended Validation，EV）SSL/TLS 证书，符合 RFC 3647 和 CA/Browser Forum 的 EV Guidelines。其核心特征是：在证书申请过程中，CA 必须完成对申请组织的法律实体身份、实际运营地址、域名控制权及授权代表身份的严格人工审核；证书中包含经验证的组织名称（Subject.OU 或 Subject.O），并在主流浏览器地址栏中显示绿色锁形图标...

加密算法 在 SSL/TLS 协议中，加密算法指用于实现密钥交换、身份认证和数据传输加密的一组密码学原语，分为三类：密钥交换算法（如 ECDHE、RSA）、签名算法（如 ECDSA、RSA-PSS）、对称加密算法（如 AES-GCM、ChaCha20-Poly1305）。 现代 TLS 1.2/1.3 部署中，密钥交换与签名已普遍转向基于椭圆曲线的方案（如 secp256r1 + ECDSA 或 X25519 + EdDSA），以兼顾安全性和性能；对称加密则优先采用 AEAD 模式（如 AES-256-GCM 或 ChaCha20-Poly1305），确保机密...

ssl证书有效期 自2024年9月1日起，所有公开信任的 SSL证书（即由主流浏览器根存储信任的证书）最长有效期被强制限制为398天（约13个月），该策略由CA/B论坛（CA/Browser Forum）通过Ballot SC-026正式确立，并已由Apple、Microsoft、Google、Mozilla等根程序全面执行。 此限制适用于所有类型：DV SSL证书、OV SSL证书、EV SSL证书，以及国密SSL证书（若其根证书已纳入国际根库并用于HTTPS）。但不适用于私有PKI签发的内网证书、代码签名证书、邮件证书（S/...

tls TLS（Transport Layer Security，传输层安全协议）是用于在互联网上加密通信的标准协议，当前广泛部署的是 TLS 1.2 和 TLS 1.3。它取代了早期不安全的 SSL 协议（SSL 3.0 及更早版本已于 2015 年被 RFC 7568 正式弃用），所有现代 ssl证书 均基于 TLS 协议实现密钥交换、身份认证与数据加密。 在实际部署中，TLS 的安全性不仅依赖于协议版本，还取决于服务器配置：包括支持的密码套件（如是否禁用弱算法 RC4、SHA-1、TLS 1.0/1.1）、密钥交换机制...

流量劫持 流量劫持是指攻击者在用户与目标服务器之间非法插入或篡改网络通信路径，使原本应直接传输的数据被重定向、监听、修改或伪造。在 HTTPS 场景下，典型形式包括中间人攻击（MITM），例如通过伪造证书、利用系统/浏览器信任的恶意根证书、或强制降级至 HTTP（SSL Stripping）实现劫持。 现代浏览器对 HTTPS 连接实施严格校验：若服务器提供的 ssl证书 不可信（如自签名、过期、域名不匹配、签发 CA 不在信任列表中），会明确阻断连接并显示严重警...

证书安装 SSL/TLS 证书安装是指将签发的证书文件（含证书链和私钥）正确部署到 Web 服务器、负载均衡器或反向代理等终端上，使 HTTPS 连接可被浏览器验证并建立加密通道。安装本身不改变证书内容，但配置错误会导致证书不可信、链路中断或浏览器显示“NET::ERR_CERT_AUTHORITY_INVALID”等错误。 典型安装需提供三类文件：① 域名证书（domain.crt 或 certificate.pem）；② 中间证书（ca-bundle.crt 或 chain.pem），用于补全信任链；③ 私钥文件...

服务器 在 SSL/TLS 语境中，“服务器”通常指运行 Web 服务（如 Nginx、Apache、IIS、OpenResty 或云原生网关）并需配置 ssl证书 的终端主机。其核心作用是：接收 HTTPS 请求、完成 TLS 握手（含证书验证）、解密客户端流量，并将明文请求转发至后端应用。 服务器侧的 SSL/TLS 实现依赖三个关键组件：私钥（必须安全存储且不可导出）、证书文件（含公钥及签发链）、以及可信根证书库（用于验证客户端证书或上游服务，如 OCSP 响应签名）。主流操作系统（Linux...

## 如何将 SSL 证书.pem 格式转换为 .crt 格式 .pem 和 .crt 在实际使用中本质是同一类编码格式（Base64 编码的 PEM 容器），二者\*\*没有技术上的格式差异\*\*，仅是文件扩展名不同。.crt 文件通常也遵循 PEM 编码规范（即以 `-----BEGIN CERTIFICATE-----` 开头、`-----END CERTIFICATE-----` 结尾），因此“转换”本质上是重命名或验证内容是否符合 X.509 证书结构。 若原始 `.pem` 文件确实包含标准的单个证书（非私钥、非证书链拼接体），可直...

Digicert（原赛门铁克 Digicert 于 2017 年收购 Symantec（赛门铁克）的数字证书业务，包括其 PKI 基础设施、根证书（如 GeoTrust Global CA、Thawte SSL CA G2 等）及全部域名验证类证书资产。自 2018 年起，所有新签发的原 Symantec 根体系证书必须由 Digicert 自有根（如 DigiCert TLS RSA SHA256 2020 CA1）签发；旧根证书（如 VeriSign Class 3 Public Primary Certification Authority - G5）已逐步停用，并于 2021 年被主流浏览器（Chrome...

有域名和网站的FTP管理权限，可以安装证书吗 仅凭域名所有权和 FTP 管理权限，无法直接完成 SSL/TLS 证书的安装与生效。FTP 权限仅允许上传/修改网站静态文件（如 HTML、CSS、JS），但 SSL 证书需由 Web 服务器（如 Nginx、Apache、IIS）在 TLS 握手层加载并验证，该过程依赖服务器操作系统级配置，而非网站根目录文件操作。 具体限制如下： 证书私钥不可通过 FTP 部署：私钥必须安全存储于服务器文件系统受保护路径（如 /etc/ssl/private/），且需由...

只有域名管理权限可以安装ssl证书吗 不是。域名管理权限（如 DNS 解析控制权）通常用于验证域名所有权（例如通过 DNS-01 挑战），但安装 SSL/TLS 证书本身依赖的是服务器或应用层的访问权限，而非域名管理权限。 具体来说： 证书申请阶段：需验证你对域名的控制权，可选 HTTP-01（需 Web 服务器可写入 /.well-known/acme-challenge/）、DNS-01（需修改 DNS TXT 记录）或 TLS-ALPN-01（需配置特定 TLS 扩展）。其中仅 DNS-01 需要域名管理权限；其余方式...

又拍云 又拍云（UpYun）是一家国内领先的云服务提供商，主要提供对象存储、CDN 加速、图片处理、音视频转码及边缘计算等服务。在 HTTPS 部署场景中，又拍云支持用户自主上传和管理 SSL/TLS 证书，并为绑定的域名自动启用 HTTPS 访问。 其控制台支持上传 PEM 格式的证书链（含域名证书 + 中间证书）与私钥，也支持一键部署 免费ssl证书（如 Let’s Encrypt），并可配置 HTTP 强制跳转、HSTS、OCSP Stapling 等安全策略。又拍云 CDN 节点默认信任主流根证...

谷歌浏览器中的 NET::ERR_CERT_AUTHORITY_INVALID 错误 该错误表示 Chrome 拒绝信任当前网站的 SSL/TLS 证书，根本原因是证书链中缺少可信的根证书（Root CA）或中间证书（Intermediate CA）未正确部署，导致浏览器无法构建一条可验证至已知信任锚（Trusted Root Store）的完整证书路径。 常见成因包括：服务器未配置完整的证书链（仅部署了域名证书，遗漏中间证书）；使用了私有 CA 或自签名根证书但未被 Chrome 信任；证书由已被 Chrome 移除信...